Açık Kaynak Tedarik Zincirinde Yeni Tehdit: Cordyceps GitHub Actions İş Akışlarını Hedef Alıyor

Yazılım geliştirme süreçlerinde CI/CD iş akışları çoktan günlük rutinin bir parçası oldu. Kod gönderiliyor, testler çalışıyor, paketler dağıtılıyor ve çoğu zaman kimse bu iş akışının arka planında neler yaşandığına ayrıca bakmıyor. Geçtiğimiz günlerde gündeme gelen ve “Cordyceps” olarak adı verilen bulgu, tam da bu görmezden gelinen alanın ne kadar kritik hale geldiğini gösteriyor.

Penetrasyon testi şirketi Novee Security’nin paylaştığı analize göre Cordyceps, tek bir yazılım hatası değil, GitHub Actions iş akışlarının kurgulanma biçiminden kaynaklanan bir zafiyet sınıfı. İsmini de buradan alıyor. Araştırmacılar bu deseni, konağını içeriden ele geçiren parazit mantara benzetmiş. Novee’nin npm, PyPI, crates ve Go ekosistemlerinde yaklaşık 30.000 depo üzerinde yaptığı taramada 654 depo işaretlenmiş, 300’den fazlasının da gerçekten istismar edilebilir olduğu doğrulandı.

İşin dikkat çeken yanı, saldırıyı tetiklemek için özel bir ayrıcalık gerekmemesi. Novee’nin kurucu mühendisi Elad Meged‘e göre kurumsal üyelik ya da içeriden erişim şart değil. Ücretsiz bir hesap bile onayları taklit etmeye, kod göndermeye veya kimlik bilgisi çalmaya yetebiliyor.

cordyceps saldiri zinciri 1
Cordyceps saldırı zinciri: güvenilmeyen bir pull request’ten bulut ortamına kadar uzanan dört aşamalı süreç.

Saldırının mantığı kademeli ilerliyor. Güvenilmeyen bir pull request düşük yetkili bir iş akışını tetikliyor, bu iş akışının ürettiği çıktı daha yüksek yetkili başka bir iş akışına aktarılıyor ve zincirin sonunda bulut ortamına en yüksek yetkiyle erişim açılabiliyor. Tek tek bakıldığında her adım normal görünüyor, risk ancak adımlar birleştiğinde ortaya çıkıyor. Novee’ye göre geleneksel tarayıcıların sorunu kaçırmasının nedeni de bu. Tarayıcı geçerli bir YAML dosyası görürken, saldırgan ise kalıcı kimlik bilgilerine giden çok adımlı bir yol görüyor.

Rapora göre zafiyet, büyük yazılım altyapılarında somut örneklerle gösterildi. Microsoft’un Azure Sentinel içerik hattında bir pull request yorumunun saldırgan kodunu çalıştırarak süresi dolmayan bir GitHub App anahtarını çalabildiği, Google’ın AI Agent Development Kit deposunda tek bir pull request’in ilgili bulut projesinde sahip düzeyinde yetki sağlayabildiği belirtiliyor. Apache, Cloudflare ve aylık 130 milyon yükleme alan Black Projesi için de benzer istismar yolları doğrulanmış. Novee, tüm bulguların sorumlu açıklama kapsamında bildirildiğini ve etkilenen kurumların gerekli düzeltmeleri uyguladığını aktarıyor.

Meged, Dark Reading’e yaptığı açıklamada, herhangi bir saldırganın bu deseni geniş ölçekte kullandığına dair bir kanıt bulunmadığını da belirtiyor. Cordyceps’in tek bir CVE numarasıyla takip edilmediğini, daha çok sistemsel bir desen olarak değerlendirildiği belirtiliyor.

Olayın bıraktığı asıl mesaj net: iş akışı kodu da koddur. Meged’e göre kurumların güvenilmeyen girdiyi yükseltilmiş yetkilerle çalıştıran iş akışlarını envantere alıp kısıtlaması gerekiyor. Yapay zeka destekli araçların aynı güvensiz yapılandırmaları hızla çoğaltması ise sorunu daha da büyütüyor.

Yusuf DALBUDAK

Yusuf Dalbudak, siber güvenlik ve BT izleme teknolojileri alanında çalışan bir Pre-Sales uzmanıdır. PRTG Network Monitor başta olmak üzere ağ izleme, sistem görünürlüğü, log yönetimi, zafiyet takibi ve siber güvenlik çözümleri üzerine teknik içerikler üretmektedir. Siber Havadis’te; güncel tehditler, güvenlik açıkları, teknoloji trendleri ve kurumsal BT güvenliği konularını sade, anlaşılır ve teknik doğruluk odaklı bir yaklaşımla ele almaktadır.

Related Posts

Test Süreci Sadece Koddan Sonra Başlamaz: ISTQB Foundation Level Notları

Yazılım geliştirme sürecinde test denildiğinde çoğu zaman akla yalnızca kodun tamamlanmasının ardından başlayan bir kontrol aşaması gelir. Ancak ISTQB Foundation Level müfredatının ikinci bölümü incelendiğinde, bu algının gerçeği tam olarak…

Sohbet Botlarından Sonraki Adım: Yapay Zekâ Fiziksel Dünyaya Geçiyor

Yapay Zekâ Ekrandan Çıkıyor Son yıllarda yapay zekâ denildiğinde akla genellikle sohbet botları, görsel üretim araçları ve dijital asistanlar geliyor. Ancak teknoloji dünyasında giderek güçlenen yeni bir görüş var: Yapay…

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir