GCP’de Güvenlik Açığı: ConfusedComposer
Siber güvenlik şirketi Tenable, Google Cloud Platform’daki (GCP) Cloud Composer hizmetinde önemli bir güvenlik açığını ortaya çıkardı. ConfusedComposer olarak adlandırılan bu açık, saldırganların Cloud Composer ortamlarını düzenleme yetkisini kullanarak, Cloud Build hizmet hesabı aracılığıyla GCP’deki diğer hizmetlerde (Cloud Storage, Artifact Registry vb.) yetki yükseltmelerine olanak tanıyordu.
Bu açık, saldırganların zararlı bir PyPI paketi yükleyerek Cloud Build içinde keyfi kod çalıştırmalarına imkan veriyordu. Google, bu sorunu 13 Nisan 2025 itibarıyla giderdi ve Cloud Composer’ın artık Cloud Build yerine kendi hizmet hesabını kullanacağını duyurdu. Bu açık, bulut servislerinin birbirine bağımlı yapılarının güvenlik açısından ne kadar riskli olduğunu gösteren “Jenga modeli” kavramının bir örneği olarak tanımlandı.
Benzer Açıklar
- ImageRunner (Tenable): GCP Cloud Run’da kötü niyetli konteyner görüntüleri çalıştırılmasına izin verebilecek bir açık.
- ConfusedFunction: GCP Cloud Functions’ta benzer bir yetki yükseltme açığı.
- Microsoft Azure Açıkları:
- Yıkıcı Saklı URL Parametre Enjeksiyonu: Azure SQL Server’da veri silmeye neden olabilecek T-SQL açığı.
- Entra ID Açığı (Datadog): Saldırganın yönetici bile olsa silinemeyen kullanıcılar yaratmasına olanak tanıyan bir yapılandırma hatası.
- AWS EC2 SSRF Saldırıları: Sunucu Tarafı İstek Sahteciliği kullanılarak EC2 metadata bilgileri çalınıyor.
Önemli nokta: Bulut hizmet sağlayıcılarının karmaşık entegrasyonları, bir hizmetteki açığın başka kritik hizmetleri de tehlikeye atmasına neden olabiliyor. Güvenlik araştırmaları, bu ilişkileri daha dikkatli ve kapsayıcı şekilde yönetmenin önemini vurguluyor.
ConfusedComposer ve Benzeri Açıklar Nasıl Önlenebilir?
- Kullanıcılara ve servis hesaplarına yalnızca gerçekten ihtiyaç duydukları izinler verilmeli. Örneğin: Cloud Composer ortamını düzenleme izni sadece güvenilir yöneticilere verilmelidir.
- Otomatik olarak atanan varsayılan izinler düzenli olarak gözden geçirilmelidir.
- Farklı hizmetler için farklı servis hesapları kullanılmalı. ConfusedComposer’da olduğu gibi, varsayılan olarak geniş yetkilere sahip olan bir servisin başka amaçlarla yeniden kullanılması tehlikeli olabilir.
- Google bu açığı, Cloud Build yerine Composer ortamının kendi servis hesabını kullanarak çözmüştü.
- Kullanıcıların kendi PyPI veya npm paketlerini yüklemesine izin veriliyorsa:
- Yüklenen paketlerin içeriği taranmalı.
- Paket yükleme yetkisi sadece güvenilir kullanıcılara verilmeli.
- İmzasız ya da bilinmeyen kaynaklardan gelen paketler kabul edilmemeli.
- Tüm sistemlerde ayrıntılı denetim günlükleri (audit logs) tutulmalı. Anormal hareketler için otomatik uyarı sistemleri kurulmalı. Örneğin: Composer ortamına yapılan beklenmedik güncellemeler veya bilinmeyen paket yüklemeleri.
- CI/CD hatlarında kullanılan hizmet hesapları ve kaynaklara erişimler sıkı denetlenmeli. Geliştiricilerin kodlarına enjekte edilebilecek kötü amaçlı yapılandırmalara karşı güvenli yazılım geliştirme yaşam döngüsü (SDLC) uygulanmalı.
- Ortamlar, servisler ve bağımlılıklar düzenli olarak güncellenmeli. Yeni açıklanan güvenlik açıklarına karşı hızlı yama yönetimi uygulanmalı. Örneğin, Google’ın 13 Nisan 2025’te yaptığı güncelleme hemen uygulanmalı.
- Cloud ortamındaki IAM politikaları düzenli olarak gözden geçirilmeli. IAM rol zincirleri (bir servisin başka bir servise erişimi) net bir şekilde tanımlanmalı ve dökümante edilmeli. Potansiyel olarak ayrıcalık yükseltme sağlayabilecek rol geçişlerine sınırlamalar getirilmeli.
- Özellikle üretim öncesi ortamlarda, olası saldırı yolları için kapsamlı testler yapılmalı. Güvenlik açıkları “ConfusedComposer” gibi karmaşık geçişlerden doğabileceği için, etkileşimli testler çok önemlidir.
Yazının kaynağı için tıklayınız. Diğer haber yazılarımıza göz atmayı unutmayınız. Takipte kalın <3
Leave a Comment