Giriş
Grafana’nın veri ihlali, TanStack npm tedarik zinciri saldırısı sonrasında gerçekleşen bir token döngüsü hatasından kaynaklandı. Bu olay, yazılım güvenliği açısından kritik bir durum arz ediyor, zira birçok geliştirici ortamının tehlikeye girmesine neden oldu.
Saldırı Nasıl Çalışıyor?
Olay, devam eden Shai-Hulud kötü amaçlı yazılım kampanyası çerçevesinde TeamPCP hackerları tarafından gerçekleştirilen TanStack paketlerinin, yetkilendirme bilgilerini çalan kötü amaçlı kod ile enfekte edilmesi sonucu meydana geldi. Bu süreçte, geliştirme ortamlarını hedef alan ve Grafana’nın CI/CD iş akışını etkileyen kötü amaçlı npm paketleri yayınlandı.
Kötü niyetli npm paketi piyasaya sürüldüğünde, Grafana’nın CI/CD iş akışı bu paketi tüketti ve bilgilere ulaşan bir modül, GitHub ortamında çalışarak GitHub iş akışı token’larını saldırganlara iletti. Grafana, Mayıs 1‘de bu kötü niyetli etkinlikleri tespit etti ve GitHub iş akışı token’larını döndürmeyi içeren acil durum müdahale planını hızlıca devreye aldı.
Ancak, bu süreçte bir token gözden kaçtı ve saldırgan bu token’ı kullanarak şirketin özel depolarına erişim sağladı. Grafana’nın güncellemesinde, “Önemli sayıda GitHub iş akışı token’ını döndürdük, ancak gözden kaçan bir token, saldırganların GitHub depolarımıza erişim sağlamasına yol açtı.” ifadesine yer verildi.
Etkilenen Sistemler
Grafana, bir dizi etkilenmiş sistemde kötü niyetli etkinliklerin yaşandığını bildirdi. Ancak, bu durumun müşteri verileri üzerinde bir etkisi olmamıştır. Şirketin belirttiğine göre, çalınan veriler şunları içeriyordu:
- Kaynak kodu
- İşletme ile ilgili bilgilerin indirilmesi
- Profesyonel ilişkilerde değiştirilebilecek iş kontakt isimleri ve e-posta adresleri
Grafana’nın açıklamasında, “Bu, üretim sistemlerinden veya Grafana Cloud platformunun kullanımı ile işlenmiş veri değildir.” ifadesi dikkat çekmektedir.
Çözüm ve Korunma
Grafana, olayın ardından kod tabanında bir değişiklik olmaması nedeniyle indirilen kodların güvenli olduğunu ve kullanıcıların herhangi bir ek önlem almasına gerek olmadığını belirtti. Ancak, bu değerlendirmenin yeni kanıtlar ışığında değişmesi durumunda, etkilenen müşterilere doğrudan bildirimde bulunacaklarını da vurgulamaktadır.
Kullanıcıların aşağıdaki önlemleri alması önerilmektedir:
- Token’ları düzenli olarak döndürmek
- Geliştirme ve üretim ortamlarını izlemek
- Güvenlik güncellemelerini takip etmek ve uygulamak
Sonuç
Kullanıcıların sistemlerini korumak için GitHub iş akışı token’larını düzenli olarak döndürmeleri ve güvenlik önlemlerini artırmaları önemlidir. Ayrıca, gelişmeleri takip etmeleri ve gerekli durumlarda sistemlerini güncellemeleri önerilmektedir. Unutulmamalıdır ki, siber saldırılar sürekli evrim geçirmekte ve her güvenlik önlemi, güncel kalmayı gerektirmektedir.
