Trivy Güvenlik Tarayıcısında Tedarik Zinciri Saldırısı
Trivy, yazılım geliştirme süreçlerinde önemli bir güvenlik tarayıcısıdır ve yeni bir tedarik zinciri saldırısına maruz kalmıştır. Bu saldırı, kullanıcıların hassas kimlik bilgilerini çalmayı hedefleyen bir grubun (TeamPCP) eylemleriyle gerçekleştirilmiştir.
Saldırı Nasıl Çalışıyor?
Saldırının temelinde, Trivy’nin v0.69.4 sürümünün arka kapı (backdoor) ile etkilendiği anlaşılmaktadır. Saldırganlar, Trivy’nin GitHub Actions sürecini ele geçirmiş ve entrypoint.sh dosyasını değiştirmiştir. Bu değişiklikle birlikte, zararlı ikili dosyalar yayımlanmış ve etkilenmiş sürümler kullanıcılar tarafından otomatik olarak çalıştırılmıştır. Dolayısıyla, bu durum tespit edilmesi zor bir hale gelmiştir.
Socket tarafından yapılan incelemelere göre, toplanan bilgiler arasında aşağıdakiler bulunmaktadır:
- İstihbarat verileri: hostname, whoami, uname, ağ yapılandırması ve ortam değişkenleri
- SSH: özel ve genel anahtarlar ile ilgili yapılandırma dosyaları
- Bulut ve altyapı yapılandırmaları: Git, AWS, GCP, Azure, Kubernetes ve Docker kimlik bilgileri
- Ortamsal dosyalar: .env ve benzeri çeşitler
- Veritabanı kimlik bilgileri: PostgreSQL, MySQL/MariaDB, MongoDB ve Redis için yapılandırma dosyaları
- Kimlik bilgisi dosyaları: paket yöneticisi ve Vault ile ilgili kimlik doğrulama tokenları
- CI/CD yapılandırmaları: Terraform, Jenkins, GitLab CI ve benzeri dosyalar
- TLS özel anahtarları
- VPN yapılandırmaları
- Webhooks: Slack ve Discord tokenları
- Shel geçmişi dosyaları
- Sistem dosyaları: /etc/passwd, /etc/shadow ve kimlik doğrulama günlükleri
- Kripto para cüzdanları
Saldırganlar, Trivy’nin yapısını manipüle ederek, üzerinde kontrol ettikleri bir depoda zararlı sürümler yayımlamışlardır. Bu süreçte, kimlik bilgileri bir şekilde ele geçmiş ve saldırının etkisi önemli ölçüde genişlemiştir.
Etkilenen Sistemler
Bu olay, Trivy’nin aquasecurity/trivy-action deposundaki neredeyse tüm etiketleri etkilemiştir. Kullanıcılar, saldırı sırasında zararlı kimlik bilgilerini içeren sürümleri kullanmışlardır. Bu nedenle, daha önce etkilenen sürümleri kullanan organizasyonlar için sistemler tamamen tehlike altında kabul edilmelidir.
Çözüm ve Korunma
Etkilenen sistemlerde derhal aşağıdaki önlemler alınmalıdır:
- Tüm kimlik bilgileri (bulut kimlik bilgileri, SSH anahtarları, API tokenları ve veritabanı şifreleri) değiştirilmeli.
- Sistemlerde ek bir saldırı olup olmadığına dair detaylı bir analiz yapılmalı.
- Geliştirici ortamlarında Trivy’nin tüm versiyonları güncellenmeli veya kaldırılmalıdır.
Ayrıca, sistemlerinizi korumak için etkin güvenlik araçları ve süreçleri geliştirilmelidir.
Sonuç
Trivy güvenlik tarayıcısındaki bu tedarik zinciri saldırısı, kullanıcılar için ciddi riskler taşımaktadır. Tüm sistem yöneticileri ve geliştiricilerin, etkilenen sürümleri kullandıysa hemen harekete geçmeleri gerekmektedir. Kimlik bilgilerini güncelleyip, sistemlerini güvence altına almak en kritik adımlardandır.
