Kaspersky Container Security ile gerçekleştirilen tahlil, Docker Hub’da yer alan ve 10 bin ila 1 milyon kere indirilen tanınan imajların bile sadece %10’unun büsbütün şimdiki olduğunu ortaya koydu. Uzmanlar, siber güvenlik risklerinin sırf yazılım açıkları yahut güncelleme kaynaklarının ele geçirilmesiyle hudutlu olmadığını; kimlik bilgilerinin inançsız idaresi, yetki yükseltme açıkları ve bütünlük denetimi eksikliği üzere yapılandırma kusurlarının da önemli tehditler oluşturduğunu belirtiyor.
Dünyanın en büyük konteyner kayıt platformu olan Docker Hub, geliştiriciler tarafından yaygın olarak kullanılıyor ve her ay 11 milyardan fazla imaj indirme işlemi gerçekleşiyor. Lakin hazır Docker imajının çok az değişiklik yapılarak ya da olduğu üzere kullanılması önemli güvenlik risklerini beraberinde getirebiliyor. Konteyner tabanlı altyapılar saldırganlar için cazip maksatlar ortasında yer alıyor. Ele geçirilen bir konteyner; DDoS ataklarında kullanılabiliyor, kripto para madenciliği emeliyle istismar edilebiliyor yahut ağ trafiğini yönlendirmek için orta sunucu (Proxy) altyapısına dönüştürülebiliyor. Ayrıyeten saldırganlar konteyner içerisindeki dataları çalabiliyor ya da silebiliyor, öteki konteynerlere erişim sağlayabiliyor ve hatta konteyner hudutlarını aşarak kurum ağının geri kalanını da riske atabiliyor.
Kaspersky Container Security (KCS), bünyesindeki yapay zeka asistanı KIRA sayesinde kullanıcıların yanılgılı yapılandırmaları ve mümkün açıkları tespit etmesini sağlarken, tahlil teklifleri de sunuyor. Bu araştırma kapsamında, geliştiricilerin en sık karşılaştığı güvenlik sıkıntılarını belirlemek maksadıyla Docker Hub’daki bir dizi tanınan imaj KCS ile tahlil edildi.
Yazılım Açıkları ve Güncelleme Kaynakları Sabote Ediliyor
Geleneksel sunucu sistemlerinin tersine, hazır Docker imajlarında otomatik güvenlik yaması takviyesi bulunmuyor. Bu nedenle geliştiricilerin, imajları manuel olarak tekrar derlemesi ve yayına alması gerekiyor. Bu durum, yaygın kullanılan imajların bile yeniliğini yitirmesine ve bilinen açıkların kapatılamamasına yol açıyor. 1 milyon indirme sonuna ulaşmış 100 rastgele Docker Hub imajı üzerinde yapılan tarama, bu imajların %64’ünde kritik güvenlik açıkları olduğunu gösterdi. Kelam konusu açıklar, saldırganların uzaktan kod çalıştırmasına (RCE), sunucu süreçlerini kilitlemesine yahut lokal erişim üzerinden en üst seviye yönetici (root) yetkileri elde etmesine imkan tanıyor.
Kaspersky Container Security Denetim Panelinde Gösterilen: Hazır İstismar Kodları (PoC/Exploit) Bulunan En Kritik 10 Güvenlik Açığı
Yetersiz yama idaresi, bilinen güvenlik açıklarının kullanılmasına yer hazırlarken; çok sık güncelleme yapılması da yazılım tedarik zinciri taarruzlarına maruz kalma riskini artırıyor. Uzmanlara nazaran bu dengeyi kurabilmek için güvenlik gruplarının bağımlılıkları sağlam sürümlere sabitlemesi ve üretim ortamına alınacak tüm konteyner manzaralarını ziyanlı yazılım açısından taraması gerekiyor.
Hatalı Yapılandırma Güvenliği Boşa Çıkarıyor
Bir konteyner manzarası büsbütün şimdiki olsa bile yanlış yapılandırılmışsa önemli riskler taşıyabiliyor. Gömülü anahtarlar ve zımnî bilgiler, devre dışı bırakılmış kimlik doğrulama düzenekleri, varsayılan parolalar ve yanlışlı evrak müsaadeleri saldırganlar tarafından kolay kolay kullanılabiliyor. Üstelik bu cins yapılandırma yanılgıları, imajın temel katmanlarına birinci geliştiriciler tarafından yerleştirilmiş olabiliyor. Bu nedenle risklerin tespit edilebilmesi için tüm katmanların ve derleme komutlarının detaylı halde incelenmesi gerekiyor.
Araştırmada öne çıkan yapılandırma kaynaklı güvenlik meseleleri şunlar oldu:
- Kimlik Bilgilerinin İnançsız İdaresi: Bazı konteynerlerde varsayılan parolalar ortam değişkenleri aracılığıyla yahut direkt Dockerfile içerisinde tanımlanabiliyor. Bu bilgilerin değiştirilmemesi durumunda saldırganlar uygulamaya erişim sağlayabiliyor. Ayrıyeten parolaların komut satırı parametreleri üzerinden iletilmesi de risk oluşturuyor; zira bu bilgiler sistemdeki öbür kullanıcılar tarafından görüntülenebiliyor.
- Konteyner İçinde Yetki Yükseltme (Privilege Escalation): Web uygulamaları ve ağ servislerindeki Uzaktan Kod Çalıştırma (RCE) açıkları, Linux sistemlerine yönelik taarruzlarda en yaygın başlangıç noktalarından biri olmaya devam ediyor. Bu tıp servisler ekseriyetle hudutlu yetkilerle çalıştığı için hücumların tesiri kısmen azaltılabiliyor. Lakin saldırganın konteyner içerisinde root yetkileri elde etmesi durumunda risk kıymetli ölçüde büyüyor. Root erişimi, saldırganın konteyner içindeki tüm süreçleri denetim etmesine, faaliyetlerini gizlemesine ve konteyner dışına çıkarak daha geniş sistemlere erişmeye çalışmasına imkân tanıyor. Yetki yükseltme birçok vakit sudo üzerinden parola gerektirmeden root olarak komut çalıştırılabilmesi yahut belge ve dizin müsaadelerinin kusurlu yapılandırılması üzere nedenlerle mümkün oluyor.
- Bütünlük Denetimlerinin Yapılmaması: Yazılımların bütünlüğü doğrulanmadan indirilmesi, altyapıyı yazılım manipülasyonu riskine açık hale getirebiliyor. Örneğin bir arşivin HTTP üzerinden indirilmesi ve bütünlük denetiminin yapılmaması, imaj oluşturma sürecinde ortadaki adam (Man-in-the-Middle) akınlarının önünü açabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
