TeamPCP'den Yeni Tedarik Zinciri Saldırısı: Checkmarx GitHub Actions Hedefte
Siber güvenlik dünyası, son dönemde özellikle tedarik zinciri güvenliğine odaklanan sofistike saldırılarla çalkalanıyor. Bulut tabanlı siber suç operasyonu olarak bilinen ve daha önce Trivy tedarik zinciri saldırısının arkasında olduğu düşünülen TeamPCP, şimdi de önde gelen güvenlik şirketi Checkmarx'ın GitHub Actions iş akışlarını hedef aldı.
Güvenlik araştırmacıları, TeamPCP'nin bu iki kritik iş akışını, ele geçirilmiş Sürekli Entegrasyon (CI) kimlik bilgileri aracılığıyla başarıyla tehlikeye attığını doğruladı. Bu durum, CI/CD boru hatlarının güvenliğinin ne denli kritik olduğunu bir kez daha gözler önüne seriyor.
Hangi İş Akışları Etkilendi?
Saldırganların hedef aldığı ve başarıyla ele geçirdiği iki ana GitHub Actions iş akışı şunlardır:
checkmarx/ast-github-actioncheckmarx/kics-github-action
Bu eylemler, yazılım geliştirme sürecinde (DevSecOps) güvenlik taramaları ve otomatik doğrulama adımları için yaygın olarak kullanıldığından, bu tür bir ele geçirme potansiyel olarak çok geniş bir etki alanına sahip olabilir.
Bulut Güvenliği ve Kimlik Bilgisi Yönetimi Riskleri
TeamPCP'nin bu saldırıyı gerçekleştirmek için kullandığı ana vektör, çalınmış CI kimlik bilgileriydi. Bu, modern yazılım geliştirme ortamlarında (özellikle GitHub Actions gibi platformlarda) kullanılan sırların (secrets) ve erişim belirteçlerinin (tokens) korunmasının ne kadar hayati olduğunu gösteriyor. Bir saldırganın CI/CD ortamına sızması, yalnızca kaynak kodu değil, aynı zamanda derlenmiş yazılımların dağıtım mekanizmalarını da tehlikeye atabilir.
Bu tür olaylar, şirketlerin yalnızca uygulama kodunu değil, aynı zamanda kodun nasıl oluşturulduğunu ve dağıtıldığını yöneten otomasyon araçlarını da sıkı bir şekilde denetlemesi gerektiğini vurguluyor. Özellikle, tedarik zinciri saldırılarının artmasıyla birlikte, geliştiricilerin kullandığı üçüncü taraf araçların ve GitHub Actions'ların güvenlik duruşunun sürekli olarak değerlendirilmesi zorunluluk haline gelmiştir.
BT Firmaları İçin Çıkarımlar
Bir IT firması olarak, bu olayı ciddiye almalı ve CI/CD güvenliğimizi gözden geçirmeliyiz. Ana çıkarımlar şunlardır:
- Kimlik Bilgisi Rotasyonu: GitHub Actions'larda kullanılan tüm sırların düzenli olarak ve otomatik olarak döndürülmesi sağlanmalıdır.
- Minimum Ayrıcalık İlkesi: CI/CD iş akışlarına yalnızca gerçekleştirmeleri gereken görevler için gereken minimum düzeyde erişim yetkisi verilmelidir.
- Periyodik Denetim: Üçüncü taraf eklentilerin ve kullanılan Action'ların güvenlik geçmişleri düzenli olarak kontrol edilmelidir.
Bu tür olaylar, bulut güvenliğinin sürekli bir çaba gerektirdiğini hatırlatıyor. Siber tehdit aktörleri sürekli olarak yeni vektörler ararken, proaktif güvenlik duruşu vazgeçilmezdir.
