Google Cloud Platform’de yaşanan güvenlik açığı nedir?
Bu güvenlik açığının etkileri nelerdir?
Nasıl düzeltilmiştir ve ne zaman?
Benzer güvenlik açıkları var mı?
Google Cloud Platform’de yaşanan güvenlik açığı nedir?
Son dönemde Google Cloud Platform (GCP) üzerinde tespit edilen "ConfusedComposer" adı verilen bir güvenlik açığı dikkat çekiyor. Bu açık, GCP üzerinde kullanılan Cloud Composer hizmetinde yer almakta ve Apache Airflow tabanlı bir yapı üzerine inşa edilmiştir. Araştırmacılar, bu açığın, Cloud Composer’da düzenleme iznine sahip bir saldırganın, varsayılan Cloud Build hizmet hesabına erişim sağlayarak yetkilerini artırmasına olanak tanıdığını ortaya koydular. Cloud Build, Cloud Storage ve Artifact Registry gibi yüksek izinlere sahip GCP hizmetleri üzerinde etkili olabilen bir servistir.
Bu güvenlik açığı, bir kullanıcının Cloud Composer ortamında değişiklik yapma iznine sahip olmasını gerektiriyor. Diğer bir deyişle, bu izne sahip bir saldırgan, zararlı bir Python Package Index (PyPI) paketi yükleyerek yetki yükseltme gerçekleştirebilir. Bahsedilen açık, aynı zamanda kuruluşların bulut hizmetleri arasında geçişkenliklerin nasıl güvenlik sorunlarına yol açtığını göstermektedir.
Bu güvenlik açığının etkileri nelerdir?
ConfusedComposer açığı, saldırganların Cloud Composer’da güncelleme yapma iznine sahip olmaları durumunda, kritik GCP hizmetlerine erişim sağlamalarına olanak tanıyabilir. Bu durum, kritik verilere sızmak, hizmetleri kesintiye uğratmak ve CI/CD hatları içinde zararlı kod dağıtımı yapmak için fırsatlar sunmaktadır. Başarılı bir istismar, saldırganların hassas verileri çalmasını ve sistemlere arka kapılar yerleştirmesini sağlayabilir. Yani, bu tür bir güvenlik açığı, sadece tek bir hizmette değil, birçok GCP hizmetinde büyük sorunlara neden olabilecek bir potansiyele sahiptir.
Nasıl düzeltilmiştir ve ne zaman?
Güvenlik açığı, Tenable tarafından sorumlu bir şekilde duyurulduktan sonra, Google tarafından 13 Nisan 2025 tarihinden itibaren düzeltme yapıldı. Google, güvenlik açığının çıkmasına neden olan durumu ortadan kaldırarak, Cloud Build hizmet hesabının PyPI paketlerini yüklemek için kullanılmasını engelledi. Bunun yerine, her ortamın kendisine ait hizmet hesabını kullanmaya başladı. Böylece, varsayılan Cloud Build hizmet hesabı yerine, güvenlik açısından daha sağlam bir yapı oluşturulmuş oldu.
Ayrıca, Cloud Composer çevreleri için yapılan değişikliklerle birlikte, önceki sorunları ortadan kaldırarak daha iyi bir güvenlik seviyesi sağlandı. Cloud Composer 2 versiyonları, zaten bu yeni değişiklikle devam etmekte; Cloud Composer 3 çevreleri ise bu değişiklikten etkilenmemektedir.
Benzer güvenlik açıkları var mı?
Benzer güvenlik açıkları, GCP ve diğer bulut hizmetlerinde sürekli olarak ortaya çıkmakta. Örneğin, yakın zamanda Tenable tarafından ortaya çıkarılan ve "ImageRunner" olarak adlandırılan başka bir yetki yükseltme açığı, bir saldırganın konteyner görüntülerine erişim sağlamasına ve zararlı kod enjekte etmesine olanak tanıyordu.
Ayrıca, Varonis Threat Labs tarafından Microsoft Azure’da keşfedilen bir başka açık, yetkili bir kullanıcının yöneticiler tarafından sunucu düzeyinde firewall kurallarını değiştirmesine izin veriyordu. Bu tür açıklar, bulut hizmetlerinin karmaşıklığı nedeniyle sıklıkla yaşanmakta ve güvenlik sorunlarının diğer hizmetlere geçmesine neden olmaktadır.
Sonuç olarak, bulut tabanlı hizmetlerde güvenlik açıkları istemeden de olsa birbiriyle etkileşim içinde olabilmektedir. Bu durum, kötü niyetli kişilerin bir hizmet üzerinden başka hizmetlere de erişim sağlamalarını mümkün kılmaktadır. Şirketlerin ve kullanıcıların bu durumun farkında olmaları ve güvenlik tedbirlerini sürekli güncellemeleri kritik bir öneme sahiptir.
