Yazılım geliştiricilerin güvenlik açıklarını tespit etmek için yaygın olarak kullandığı Aqua Security'nin Trivy güvenlik tarayıcısının, devam eden bir tedarik zinciri saldırısı sonucunda neredeyse tüm sürümlerinin tehlikeye atıldığı bildirildi. Bu durum, geliştiriciler ve bu aracı kullanan kuruluşlar için geniş çaplı sonuçlar doğurabilir.
Trivy'nin geliştiricileri, cuma günü yaptıkları açıklamada, yaşanan güvenlik açığını doğruladı. Saldırının perşembe günü erken saatlerde başladığı ve kötü niyetli aktörlerin, çalınan kimlik bilgilerini kullanarak Trivy'nin iş akışı etiketlerinin (trivy-action tags) büyük çoğunluğunu ve kurulum etiketlerinin (setup-trivy tags) yedisini, zararlı bağımlılıklar içerecek şekilde zorla değiştirdiği belirtildi.
İş Akışlarınızın Tehlikede Olduğunu Varsayın
Git'te force push (zorla itme) komutu, mevcut kayıtları üzerine yazmaya karşı koruma sağlayan varsayılan bir güvenlik mekanizmasını geçersiz kılar. Trivy, geliştiricilerin yazılım güncellemelerini geliştirirken ve dağıtırken yanlışlıkla kimlik doğrulama sırlarını kodlarına yerleştirmelerini tespit etmek için kullandıkları bir güvenlik tarayıcısıdır. GitHub'da 33.200 yıldız alan bu aracın, geniş çapta kullanıldığını gösteriyor.
Güvenlik uzmanları, şüpheli bir sürüm kullandığınızı düşünüyorsanız, tüm iş akışı sırlarının tehlikeye atılmış kabul edilmesi ve derhal döndürülmesi gerektiğini belirtti. Zararlı yazılımın, geliştirme iş akışlarını, geliştirici makinelerini de dahil ederek GitHub tokenları, bulut kimlik bilgileri, SSH anahtarları, Kubernetes tokenları ve diğer olası sırları aradığı ifade edildi. Bulunan veriler şifrelenerek saldırganın kontrolündeki bir sunucuya gönderiliyor.
Sonuç olarak, zararlı sürümleri kullanan herhangi bir sürekli entegrasyon/sürekli dağıtım (CI/CD) işlem hattı, Trivy taraması çalıştırıldığında zararlı kodu çalıştırıyor. Sahte sürüm etiketleri arasında yaygın olarak kullanılan @0.34.2, @0.33 ve @0.18.0 bulunuyor. @0.35.0 sürümünün ise bu saldırıdan etkilenmediği görülüyor.
Güvenlik araştırmacıları, zararlı ikili dosya çalıştırıldığında hem meşru Trivy hizmetini hem de zararlı kodu paralel olarak başlattığını belirtiyor. Analizler, zararlı kodun birincil ve yedek mekanizmalarla sırları sızdırdığını gösteriyor. Eğer geliştirici makinesinde olduğunu tespit ederse, kalıcılık için base64 ile kodlanmış bir Python dropper da ekliyor.
Bu toplu tehlike, geçen ay Trivy tarayıcısı için Aqua Trivy VS Code uzantısında yaşanan ayrı bir güvenlik açığına dayanıyor. Bu olayda saldırganlar, Trivy GitHub hesabına yazma erişimi olan bir kimlik bilgisi elde etmişti. Geliştiriciler bu duruma tepki olarak tokenları ve diğer sırları döndürmüş olsalar da, işlem tam olarak "atomik" olmadığından, kimlik bilgisi artefaktları olan API anahtarları, sertifikalar ve şifrelerin kötüye kullanılmasını engelleyecek şekilde tamamen temizlenememiş.
Bu durum, tehdit aktörünün GitHub'ı istismar etmeye gerek kalmadan kimlik doğrulanmış işlemleri, etiketleri zorla güncellemeyi de içeren işlemleri gerçekleştirmesine olanak sağlamış. Bu aşamada kullanılan belirli kimlik bilgisi kamuoyu ile paylaşılmamış olsa da, temel nedenin önceki kimlik bilgisi tehlikesinden kalan kalıcı erişim olduğu anlaşılıyor.
Ek Gizlilik İçin Daha Yeni Bir Teknik
Bu güvenlik açığı tekniği, tipik tedarik zinciri saldırılarından farklı bir yaklaşım sergiliyor. Olağan yöntemlerde, çalınan kimlik bilgileriyle bir depoya zararlı kod eklenir. Ancak bu yeni yöntem, saldırının birçok yaygın savunma mekanizmasının dikkatinden kaçmasına olanak tanımış.
Git etiketleri, bir kaydın SHA parmak izini işaret eden işaretçilerdir. Bu etiketleri kullanan GitHub Actions, bunları belirtilen kayda çözümlemekte. Etiketlerin meşru kayıtlardan saldırgan tarafından yazılmış zararlı kayıtlara zorla güncellenmesiyle, bu etiketleri kullanan herhangi bir iş akışı otomatik olarak ikincileri çekmeye başlamış.
Kötü niyetli aktörlerin (kendini Team PCP olarak tanımlayan) kullandığı belirtilen süreç şu şekilde:
- En güncel kodu içeren mevcut dosya ağacını (master HEAD tree) (57a97c7e) temel aldı.
- entrypoint.sh dosyasını, geri kalan her şeyi master'dan koruyarak, bilgi hırsızlığı yükü ile değiştirdi.
- Etiketin daha önce işaret ettiği orijinal kaydı (örneğin, etiket 0.33.0 için PR #481 birleşmesi) buldu.
- Orijinal kaydın meta verilerini, yazar adını, e-postasını, işleyiciyi, her iki zaman damgasını ve tam işlem mesajını (PR numarası ve "Fixes" referansları dahil) kopyaladı.
- Orijinal ebeveyn yerine 57a97c7e'yi (master HEAD) ebeveyn olarak ayarladı.
- Etiketi bu yeni kayda zorla gönderdi.
Şu ana kadar, tehlikeye giren Trivy tarayıcısını kullanan geliştiriciler veya kuruluşların herhangi bir ihlal raporu bulunmuyor. Aracın popülerliği, bilgi hırsızlığının kapsamlılığı ve operasyonun gizliliği göz önüne alındığında, potansiyel sonuçlar ciddi olabilir. Tüm Trivy kullanıcılarının, ilgili blog yazılarını okumaları ve açıklanan savunma adımlarını takip etmeleri önerilir.
