Güvenlik ekiplerinin en büyük kabusu, güvendikleri savunma araçlarının bizzat saldırganlar tarafından silah olarak kullanılmasıdır. The Hacker News ve Socket'in bugün yayınladığı acil rapora göre, tam da böyle bir senaryo yaşanıyor. Yazılım tedarik zinciri (Supply Chain) güvenliğinde deprem etkisi yaratan olayda, Checkmarx'ın açık kaynaklı güvenlik tarama aracı olan "KICS" (Keeping Infrastructure as Code Secure) resmi Docker Hub deposunda "zehirli" (malicious) imajlar tespit edildi.
Saldırganlar sadece resmi checkmarx/kics Docker deposundaki v2.1.20 ve alpine gibi mevcut etiketleri değiştirmekle kalmadı, aynı zamanda resmi olmayan sahte bir v2.1.21 sürümü bile yayınladı. Olayın boyutu Docker ile sınırlı kalmadı; KICS'in Microsoft Visual Studio (VS) Code eklentilerine de sızıldığı ve arka planda uzaktan zararlı kod çalıştıran eklentilerin sisteme dahil edildiği ortaya çıktı. Docker deposu olayın ardından acilen arşive alındı.
Nasıl Çalışır? Güvenlik Tarayıcısı Nasıl Casusa Dönüştü?
KICS normalde nedir? Şirketler Terraform, Kubernetes veya CloudFormation gibi altyapı kodlarında (IaC) güvenlik açığı veya unutulmuş parola var mı diye bu aracı kullanır. Yani KICS, doğası gereği şirketin en hassas verilerine erişmek zorundadır.
Saldırganlar tam olarak bu güven ilişkisini sömürdü:
- İkili (Binary) Değiştirme: Zehirli Docker imajındaki KICS çalıştırılabilir dosyası, saldırganlar tarafından manipüle edildi.
- Sessiz Raporlama: Manipüle edilmiş araç, altyapı kodlarını tararken bulduğu parolaları, API anahtarlarını ve zafiyetleri sansürlemeden tam bir rapor haline getirdi.
- Sızdırma (Exfiltration): Daha sonra bu gizli raporu şifreleyerek tamamen dışarıdaki, saldırganlara ait bir sunucuya (endpoint) gönderdi.
- VS Code Arka Kapısı: Eş zamanlı olarak VS Code eklentisine sızan zararlılar, "Bun" çalışma zamanı (runtime) üzerinden GitHub'dan gizli JavaScript kodları indirerek kullanıcının haberi olmadan (onaysız) çalıştırdı.
Kişisel Not / Analiz: Korumaya Güven, Doğrulamaya İnan
Bu vaka, SolarWinds felaketini andıran klasik ve çok tehlikeli bir Supply Chain (Tedarik Zinciri) saldırısıdır. Siber güvenlikte "Quis custodiet ipsos custodes?" (Bekçileri kim bekleyecek?) sorusu bir kez daha gündeme geliyor. Kendi altyapınızın açıklarını bulması için resmi deposundan indirdiğiniz bir güvenlik aracı, aslında şirketin tüm anahtarlarını sessizce dışarı servis etmiş olabilir.
Bu olaydan çıkarılması gereken en büyük Blue Team / DevSecOps dersi şudur: Bir yazılım ister Microsoft'tan, ister Checkmarx'tan, ister Docker Hub'ın "Resmi" etiketli deposundan gelsin; sisteminize dahil olan her kodun bütünlüğü (Image Signing & Verification) mutlaka doğrulanmalıdır. Eğer zehirli KICS imajını sisteminizde çalıştırdıysanız; taramadan geçen tüm Terraform ve Kubernetes dosyalarındaki parolalar ve AWS/Azure anahtarları potansiyel olarak çalınmış demektir. Bu parolaların "Acil Durum (IR)" prosedürüyle anında sıfırlanması (Rotate) şarttır.
