Nov 25, 2024Ravie LakshmananCloud Security / Supply Chain Attack Cybersecurity watafiti wamefichua mbinu mbili mpya za uvamizi dhidi ya zana za kisera-as-code (IaC) na sera-kama-code (PaC) kama vile Wakala wa Sera ya HashiCorp na Open Policy (OPA) ambayo hutumia lugha zilizojitolea, maalum za kikoa (DSL) kukiuka majukwaa ya wingu na kuchuja data. “Kwa kuwa hizi ni lugha ngumu zenye uwezo mdogo, zinafaa kuwa salama zaidi kuliko lugha za kawaida za upangaji programu – na kwa kweli ziko,” mtafiti mkuu wa usalama wa Tenable Shelly Raban alisema katika ripoti ya kiufundi iliyochapishwa wiki iliyopita. “Hata hivyo, usalama zaidi haimaanishi kuzuia risasi.” OPA ni injini ya sera ya chanzo huria maarufu inayoruhusu mashirika kutekeleza sera katika mazingira asilia ya wingu, kama vile huduma ndogo, mabomba ya CI/CD na Kubernetes. Sera hufafanuliwa kwa kutumia lugha asilia ya kuuliza inayoitwa Rego ambayo inatathminiwa na OPA ili kurejesha uamuzi. Mbinu ya kushambulia iliyobuniwa na Tenable inalenga msururu wa ugavi, ambapo mvamizi hupata ufikiaji ambao haujaidhinishwa kupitia ufunguo wa ufikiaji ulioathiriwa ili kuingiza sera hasidi ya Rego kwenye seva ya OPA, ambayo baadaye hutumika wakati wa awamu ya uamuzi wa sera ili kuruhusu vitendo viovu kama vile kuchuja kitambulisho kwa kutumia. kitendakazi kilichojengewa ndani kinachojulikana kama “http.send.” Hata katika hali ambapo utumaji wa OPA huzuia matumizi ya http.send, kampuni ya usalama wa mtandao iligundua kuwa inawezekana kutumia chaguo jingine linaloitwa “net.lookup_ip_addr” kusafirisha data kwa njia ya uchunguzi wa DNS kupitia mbinu inayojulikana kama njia ya DNS. “Kwa hivyo, chaguo la kukokotoa la net.lookup_ip_addr ni chaguo jingine ambalo unaweza kufikiria kuwekea vikwazo au angalau kuangalia katika sera, kwa vile inaleta hatari ya kuchujwa kwa data kutoka kwa matumizi yako ya OPA,” Raban alisema. Terraform, sawa na OPA, inalenga kurahisisha mchakato wa kusanidi, kupeleka, na kudhibiti rasilimali za wingu kupitia ufafanuzi unaotegemea kanuni. Mipangilio hii inaweza kusanidiwa kwa kutumia DSL nyingine tangazo iitwayo HashiCorp Configuration Language (HCL). Mshambulizi anaweza kulenga jukwaa la chanzo huria la IaC kwa kutumia amri yake ya “terraform plan”, ambayo kwa kawaida huanzishwa kama sehemu ya mtiririko wa kazi wa GitHub “pull_request”, ili kutekeleza mabadiliko ambayo hayajakaguliwa yenye chanzo hasidi cha data wakati wa mchakato wa CI/CD. “Hii inaleta hatari, kwani mvamizi wa nje katika hazina ya umma au mtu wa ndani hasidi (au mvamizi wa nje aliye na nafasi) katika hazina ya kibinafsi anaweza kutumia ombi la kuvuta kwa malengo yao hasidi,” Tenable alibainisha. “Vyanzo vya data huendeshwa wakati wa ‘mpango wa terraform,’ ambayo hupunguza kwa kiasi kikubwa mahali pa kuingilia kwa washambuliaji.” Vyanzo hivi vya data, kwa upande wake, vinaweza kuwa chanzo potovu cha data ya nje, moduli ya Terraform, au chanzo cha data cha DNS, na hivyo kulazimika kutumia vipengele vya wahusika wengine pekee kutoka vyanzo vinavyoaminika. Baadhi ya mapendekezo mengine ya kupunguza hatari hizo ni pamoja na – Tekeleza udhibiti wa ufikiaji wa msingi wa jukumu la punjepunje (RBAC) na kufuata kanuni ya fursa ndogo Kuweka ukataji wa kiwango cha maombi na kiwango cha wingu kwa ufuatiliaji na uchambuzi Kupunguza ufikiaji wa mtandao na data wa programu na mashine za msingi Zuia utekelezwaji wa kiotomatiki wa msimbo ambao haujakaguliwa na unaoweza kuwa hasidi katika mabomba ya CI/CD Zaidi ya hayo, mashirika yanaweza kutumia uchanganuzi wa IaC. zana na masuluhisho kama vile Terrascan na Checkov ili kutambua kwa hiari usanidi usiofaa na masuala ya kufuata kabla ya kupelekwa. Umepata makala hii ya kuvutia? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.