Aylık 1 milyonu aşkın indirme sayısına sahip popüler bir açık kaynak yazılım, geliştirici hesabındaki güvenlik açığı nedeniyle tehlikeye girdi. Saldırganlar, bu açığı kullanarak yazılımın imzalama anahtarlarına ve diğer hassas bilgilere erişim sağladı.
Cuma günü, kimliği belirsiz saldırganlar bu güvenlik açığını kullanarak makine öğrenimi sistemlerindeki performansı ve anormallikleri izlemeye yardımcı olan bir komut satırı arayüzü olan element-data'nın yeni bir sürümünü dağıttı. Kötü amaçlı yazılım çalıştırıldığında, kullanıcı profilleri, depo kimlik bilgileri, bulut sağlayıcı anahtarları, API jetonları ve SSH anahtarları gibi hassas verileri taradı. Kötü amaçlı sürüm 0.23.3 olarak etiketlenmişti ve geliştiricilerin Python Package Index ve Docker imaj hesaplarına yüklendi. Yaklaşık 12 saat sonra, Cumartesi günü kaldırıldı. Elementary Cloud, Elementary dbt paketi ve diğer tüm CLI sürümleri etkilenmedi.
Sistemin Ele Geçirildiği Varsayılmalı
Geliştiriciler, “0.23.3 sürümünü yükleyen veya etkilenen Docker imajını çekip çalıştıran kullanıcılar, çalıştığı ortamda erişilebilir olan herhangi bir kimlik bilgisinin açığa çıkmış olabileceğini varsaymalıdır” açıklamasını yaptı.
Saldırganlar, geliştiricilerin oluşturduğu bir GitHub action'daki güvenlik açığını kullanarak geliştirici hesabına erişim sağladı. Saldırganlar, bir çekme isteğine (pull request) kötü amaçlı kod göndererek geliştiricinin hesabında çalışan bir bash komut dosyası çalıştırdı. Bu komut dosyası hassas verileri topladı. Hesap jetonları ve imzalama anahtarlarıyla saldırgan, meşru bir pakemden neredeyse ayırt edilemeyen kötü amaçlı bir element-data paketi yayınlamayı başardı.
Geliştiriciler, üçüncü taraf bir sorun raporu aracılığıyla olayın farkına vardı. Üç saat içinde paket kaldırıldı. Element geliştiricileri, kötü amaçlı kodun erişebildiği tüm kimlik bilgilerini döndürdüklerini de belirtti. Ayrıca güvenlik açığını giderdiler ve diğer tüm GitHub action'larını denetleyerek aynı kusuru içermediğinden emin oldular.
Geliştiriciler, 0.23.3 sürümünü yükleyen tüm geliştiricileri derhal aşağıdaki adımları atmaya çağırıyor:
Son on yılda, açık kaynak depolarına yönelik tedarik zinciri saldırıları giderek daha yaygın hale geldi. Bazı durumlarda, kötü amaçlı paket kullanıcıların ihlaline yol açarak ve oradan da kullanıcı ortamlarının ihlaliyle sonuçlanan bir dizi tehlikeye yol açtı.
runZero'nun kurucusu ve CEO'su olan ve kırk yılı aşkın deneyime sahip bir hacker, kullanıcı tarafından geliştirilen depo iş akışlarının, GitHub action'lar gibi, güvenlik açıkları barındırmasıyla ünlü olduğunu söyledi.
Bunun, “açık depoları olan açık kaynak projeler için büyük bir sorun olduğunu” belirtti. “Bir saldırganın çekme isteği tarafından istismar edilebilecek tehlikeli iş akışları oluşturmamak gerçekten çok zor.”
Bu tür güvenlik açıklarını kontrol etmek için kullanılabilecek bir paket olduğunu da sözlerine ekledi.
