Merhaba! Son yapılan bir siber güvenlik araştırmasında Amazon Web Services (AWS) ve Google Cloud’un komut satırı arayüzü araçlarının derleme günlüklerinde hassas kimlik bilgilerinin açığa çıkabileceği ortaya çıktı. Bu da kuruluşlar için ciddi riskler oluşturabilir demek oluyor. Orca adlı güvenlik firması tarafından keşfedilen bu güvenlik açığının adı SızdıranCLI. Araştırmacı Roi Nisimi’ye göre bu durum, Azure CLI, AWS CLI ve Google Cloud CLI’deki komutlar aracılığıyla rakiplerin toplayabileceği hassas bilgilerin ortaya çıkmasına neden olabilir.
Microsoft, Kasım 2023’te yayımladığı güvenlik güncelleştirmeleriyle bu sorunu ele aldı ve CVE-2023-36052 adlı bir tanımlayıcı atadı. CLI komutlarının (önceden) tanımlanmış ortam değişkenlerini göstermek ve CI/CD günlüklerine çıktı vermek için kullanılabileceği belirtiliyor. Ancak bu tür komutların listesi 0’ın altında bulunuyor.
Orca, GitHub Actions, CircleCI, TravisCI ve Cloud Build gibi araçlar aracılığıyla hatalı bir şekilde projelerde erişim belirteçleri ve hassas verilerin sızdırıldığını belirtiyor. Amazon ve Google ise bu durumu beklenen bir şey olarak görüyor ve kuruluşların sırlarını ortam değişkenlerinde saklamaktan kaçınmalarını, bunun yerine AWS Secrets Manager veya Google Cloud Secret Manager gibi özel sır depolama hizmetlerini kullanmalarını öneriyor.
Google ayrıca komut çıktısının standart çıktıya yazdırılmasını ve terminaldeki standart hatayı bastırmak için “–no-user-output-enabled” seçeneğini kullanmayı tavsiye ediyor. Nisimi’ye göre kötü niyetli kişiler bu ortam değişkenlerini ele geçirirse, hassas bilgilerin görüntülenmesine ve veri havuzu sahiplerinin erişebileceği kaynaklara erişmelerine olanak verebilir.
Sonuç olarak, CLI komutlarının varsayılan olarak güvenli bir ortamda çalıştığı düşünülse de CI/CD işlem hatlarıyla birleştiğinde güvenlik tehdidi oluşturabileceğini unutmamak gerek! Bu nedenle, hassas bilgileri güvenli bir şekilde saklamak ve bu tür güvenlik açıklarına karşı önlem almak önemli. Şimdilik bu konuda bilgi sahibi olduk, güvenliğimize dikkat etmeyi unutmayalım!
