Kaspersky Uyardı: Docker Hub İmajlarının Üçte İkisi Kritik Güvenlik Açıkları İçeriyor

Kaspersky Container Security ile gerçekleştirilen tahlil, Docker Hub’da yer alan ve 10 bin ila 1 milyon sefer indirilen tanınan imajların bile sırf %10’unun büsbütün şimdiki olduğunu ortaya koydu. Uzmanlar, siber güvenlik risklerinin sırf yazılım açıkları yahut güncelleme kaynaklarının ele geçirilmesiyle hudutlu olmadığını; kimlik bilgilerinin inançsız idaresi, yetki yükseltme açıkları ve bütünlük denetimi eksikliği üzere yapılandırma kusurlarının da önemli tehditler oluşturduğunu belirtiyor.

Dünyanın en büyük konteyner kayıt platformu olan Docker Hub, geliştiriciler tarafından yaygın olarak kullanılıyor ve her ay 11 milyardan fazla manzara indirme işlemi gerçekleşiyor. Fakat hazır Docker imajının çok az değişiklik yapılarak ya da olduğu üzere kullanılması önemli güvenlik risklerini beraberinde getirebiliyor. Konteyner tabanlı altyapılar saldırganlar için cazip gayeler ortasında yer alıyor. Ele geçirilen bir konteyner; DDoS hücumlarında kullanılabiliyor, kripto para madenciliği maksadıyla istismar edilebiliyor yahut ağ trafiğini yönlendirmek için orta sunucu (Proxy) altyapısına dönüştürülebiliyor. Ayrıyeten saldırganlar konteyner içerisindeki dataları çalabiliyor ya da silebiliyor, öteki konteynerlere erişim sağlayabiliyor ve hatta konteyner hudutlarını aşarak kurum ağının geri kalanını da riske atabiliyor.

Kaspersky Container Security (KCS), bünyesindeki yapay zeka asistanı KIRA sayesinde kullanıcıların yanlışlı yapılandırmaları ve muhtemel açıkları tespit etmesini sağlarken, tahlil teklifleri de sunuyor. Bu araştırma kapsamında, geliştiricilerin en sık karşılaştığı güvenlik sıkıntılarını belirlemek emeliyle Docker Hub’daki bir dizi tanınan imaj KCS ile tahlil edildi.

Yazılım Açıkları ve Güncelleme Kaynakları Sabote Ediliyor

Geleneksel sunucu sistemlerinin bilakis, hazır Docker imajlarında otomatik güvenlik yaması dayanağı bulunmuyor. Bu nedenle geliştiricilerin, imajları manuel olarak yine derlemesi ve yayına alması gerekiyor. Bu durum, yaygın kullanılan imajların bile yeniliğini yitirmesine ve bilinen açıkların kapatılamamasına yol açıyor. 1 milyon indirme hududuna ulaşmış 100 rastgele Docker Hub imajı üzerinde yapılan tarama, bu imajların %64’ünde kritik güvenlik açıkları olduğunu gösterdi. Kelam konusu açıklar, saldırganların uzaktan kod çalıştırmasına (RCE), sunucu süreçlerini kilitlemesine yahut lokal erişim üzerinden en üst seviye yönetici (root) yetkileri elde etmesine imkan tanıyor.

Kaspersky Container Security Denetim Panelinde Gösterilen: Hazır İstismar Kodları (PoC/Exploit) Bulunan En Kritik 10 Güvenlik Açığı

Yetersiz yama idaresi, bilinen güvenlik açıklarının kullanılmasına yer hazırlarken; çok sık güncelleme yapılması da yazılım tedarik zinciri hücumlarına maruz kalma riskini artırıyor. Uzmanlara nazaran bu dengeyi kurabilmek için güvenlik gruplarının bağımlılıkları muteber sürümlere sabitlemesi ve üretim ortamına alınacak tüm konteyner imajlarını ziyanlı yazılım açısından taraması gerekiyor.

Hatalı Yapılandırma Güvenliği Boşa Çıkarıyor

Bir konteyner imgesi büsbütün yeni olsa bile yanlış yapılandırılmışsa önemli riskler taşıyabiliyor. Gömülü anahtarlar ve bilinmeyen bilgiler, devre dışı bırakılmış kimlik doğrulama sistemleri, varsayılan parolalar ve yanılgılı belge müsaadeleri saldırganlar tarafından kolaylıkla kullanılabiliyor. Üstelik bu tıp yapılandırma yanılgıları, imajın temel katmanlarına birinci geliştiriciler tarafından yerleştirilmiş olabiliyor. Bu nedenle risklerin tespit edilebilmesi için tüm katmanların ve derleme komutlarının detaylı biçimde incelenmesi gerekiyor.

Araştırmada öne çıkan yapılandırma kaynaklı güvenlik problemleri şunlar oldu:

• Kimlik Bilgilerinin İnançsız İdaresi: Bazı konteynerlerde varsayılan parolalar ortam değişkenleri aracılığıyla yahut direkt Dockerfile içerisinde tanımlanabiliyor. Bu bilgilerin değiştirilmemesi durumunda saldırganlar uygulamaya erişim sağlayabiliyor. Ayrıyeten parolaların komut satırı parametreleri üzerinden iletilmesi de risk oluşturuyor; zira bu bilgiler sistemdeki öbür kullanıcılar tarafından görüntülenebiliyor.

• Konteyner İçinde Yetki Yükseltme (Privilege Escalation): Web uygulamaları ve ağ servislerindeki Uzaktan Kod Çalıştırma (RCE) açıkları, Linux sistemlerine yönelik hücumlarda en yaygın başlangıç noktalarından biri olmaya devam ediyor. Bu çeşit servisler çoklukla sonlu yetkilerle çalıştığı için hücumların tesiri kısmen azaltılabiliyor. Lakin saldırganın konteyner içerisinde root yetkileri elde etmesi durumunda risk değerli ölçüde büyüyor. Root erişimi, saldırganın konteyner içindeki tüm süreçleri denetim etmesine, faaliyetlerini gizlemesine ve konteyner dışına çıkarak daha geniş sistemlere erişmeye çalışmasına imkân tanıyor. Yetki yükseltme birden fazla vakit sudo üzerinden parola gerektirmeden root olarak komut çalıştırılabilmesi yahut belge ve dizin müsaadelerinin kusurlu yapılandırılması üzere nedenlerle mümkün oluyor.

• Bütünlük Denetimlerinin Yapılmaması: Yazılımların bütünlüğü doğrulanmadan indirilmesi, altyapıyı yazılım manipülasyonu riskine açık hale getirebiliyor. Örneğin bir arşivin HTTP üzerinden indirilmesi ve bütünlük denetiminin yapılmaması, manzara oluşturma sürecinde ortadaki adam (Man-in-the-Middle) ataklarının önünü açabiliyor.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı