Açıkların Teknik Detayları
Açık kaynaklı CI/CD platformu GoCD, kötü niyetli ve doğrulanmış kullanıcıların yönetici seviyesinde yetkilere yükselmesini sağlayabilecek bir güvenlik açığını gidermek için acil bir güncelleme yayınladı.
Bu güvenlik açığı, 24.5.0 sürümünden önceki GoCD sürümlerinde tespit edilmiştir ve şu teknik sorunlardan kaynaklanmaktadır:
- Yönetici “Configuration XML” UI özelliği ve ilişkili API’ye yönelik hatalı yetkilendirme.
Bu açık, saldırganların yetkisiz erişim sağlayarak hassas bilgileri elde etmesine veya GoCD sistemini tamamen kontrol altına almasına yol açabilir.
GoCD’nin resmi güvenlik danışmanlığına göre:
“Bu açık, mevcut bir GoCD kullanıcı hesabına sahip kötü niyetli bir iç tehdit unsuru veya kullanıcı tarafından kötüye kullanılabilir. Saldırgan, yalnızca GoCD yöneticilerine yönelik bilgileri görüntüleyebilir veya kalıcı olarak yönetici yetkilerine yükselebilir.”
Ayrıca, bu açık yalnızca kimlik doğrulaması sonrası kötüye kullanılabilir.
“Bu güvenlik açığı, kimlik doğrulama/giriş öncesinde kötüye kullanılamaz,” denilmektedir.
Etkilenen Sürümler ve Dosyalar
Bu güvenlik açığı, 24.5.0 sürümünden önceki tüm GoCD sürümlerini etkilemektedir. Daha eski sürümleri kullanan sistemler özellikle risk altındadır.
Çözüm ve Öneriler
Kullanıcıların sistemlerini hemen GoCD 24.5.0 sürümüne yükseltmesi şiddetle tavsiye edilmektedir. Bu sürüm, açığı gidermek için gerekli yamayı içermektedir.
Eğer yükseltme hemen gerçekleştirilemiyorsa, GoCD projesi şu geçici önlemleri önermektedir:
- Güvenli Yol Engellemesi:
- Bir ters proxy, web uygulama güvenlik duvarı (WAF) veya benzer bir mekanizma kullanarak dış erişimi /go/rails/ önekiyle başlayan yollara engelleyin.
- Güvenlik danışmanlığına göre, “Bu yolun engellenmesi işlevsellik kaybına neden olmaz.”
- Kullanıcı Tabanını Azaltma:
- GoCD’ye erişimi güvenilir bir kullanıcı grubuyla sınırlayın.
- “guest-login-plugin” gibi anonim erişim sağlayan eklentileri geçici olarak devre dışı bırakmayı düşünün.
- Sürekli İzleme ve Sıkılaştırma:
- CI/CD boru hatlarınızı izlemek için sistemleri sıkı bir şekilde izleyin ve güvenlik açıklarına karşı dikkatli olun.
Sonuç ve Öneriler
GoCD kullanıcılarının, CI/CD boru hatlarını korumak ve sistemlerinin kontrolünü kaybetmemek adına acil bir şekilde harekete geçmesi gerekmektedir. Bu güvenlik açığı, kimlik doğrulama gerektirse de, içerideki tehdit unsurlarını ve doğrulanmış kullanıcıları kötüye kullanma potansiyeline sahiptir.
GoCD 24.5.0 sürümüne yükseltme yaparak veya yukarıdaki önlemleri alarak güvenliğinizi sağlayabilirsiniz.
Birlikte Güvende Olalım!
#CyberSecurity #NetworkSecurity #CI_CD #Vulnerability
About the Author
