Trivy'nin Tehlikeye Girmesi
Aqua Security'nin Trivy güvenlik açığı tarayıcısı, siber saldırganlar tarafından ele geçirildi. Bu durum, Türkiye'deki yazılım geliştiricileri ve kullandıkları organizasyonlar için ciddi sonuçlar doğurabilir. Trivy'nin geliştiricisi Itay Shakury, saldırının Cuma günü doğrulandığını açıkladı. Saldırı, Perşembe sabahı erken saatlerde başladı ve saldırganlar, ele geçirilen kimlik bilgilerini kullanarak trivy-action etiketleri ile setup-trivy etiketlerini kötü amaçlı bağımlılıklar ile güncelledi.
Pipeline'larınızı Koruyun
Git'teki bir "forced push" komutu, mevcut commit'leri geçersiz kılan bir güvenlik mekanizmasını aşarak değişiklik yapma imkanı sağlar. Trivy, yazılım güncellemeleri için geliştirme ve dağıtım hatalarında güvenlik açıklarını tespit etmek amacıyla kullanılan bir tarayıcıdır. GitHub'da 33,200 yıldız ile yüksek bir derecelendirmeye sahiptir, bu da geniş bir kullanıcı kitlesi olduğunu gösteriyor.
Shakury, "Eğer ele geçirilmiş bir sürüm çalıştırdığınızı düşünüyorsanız, tüm pipeline şifrelerinizi tehlikeye girmiş sayın ve hemen değiştirin," dedi.
Socket ve Wiz güvenlik firmaları, 75 ele geçirilmiş trivy-action etiketinde tetiklenen kötü amaçlı yazılımın, geliştirici makineleri de dahil olmak üzere geliştirme pipeline'larını detaylı bir şekilde taradığını belirtti. Bu süreçte GitHub token'ları, bulut kimlik bilgileri, SSH anahtarları ve Kubernetes token'ları gibi gizli veriler aranıyor. Bulunan veriler şifrelenerek saldırgan kontrolündeki bir sunucuya gönderiliyor.
Sonuç olarak, Socket'e göre, ele geçirilmiş sürüm etiketlerini referans alan CI/CD pipeline'ları, Trivy taraması çalıştırıldığında kötü amaçlı kodu hemen yürütüyor. Saldırıda kullanılan sahte sürüm etiketleri arasında yaygın olarak kullanılan @0.34.2, @0.33 ve @0.18.0 bulunuyor. @0.35.0 sürümünün etkilenmediği belirtiliyor.
