Kaspersky Container Security ile gerçekleştirilen analiz, Docker Hub’da yer alan ve 10 bin ila 1 milyon kez indirilen popüler imajların bile yalnızca %10’unun tamamen güncel olduğunu ortaya koydu. Uzmanlar, siber güvenlik risklerinin yalnızca yazılım açıkları veya güncelleme kaynaklarının ele geçirilmesiyle sınırlı olmadığını; kimlik bilgilerinin güvensiz yönetimi, yetki yükseltme açıkları ve bütünlük kontrolü eksikliği gibi yapılandırma hatalarının da ciddi tehditler oluşturduğunu belirtiyor.
Dünyanın en büyük konteyner kayıt platformu olan Docker Hub, geliştiriciler tarafından yaygın olarak kullanılıyor ve her ay 11 milyardan fazla görüntü indirme işlemi gerçekleşiyor. Ancak hazır Docker imajının çok az değişiklik yapılarak ya da olduğu gibi kullanılması ciddi güvenlik risklerini beraberinde getirebiliyor. Konteyner tabanlı altyapılar saldırganlar için cazip hedefler arasında yer alıyor. Ele geçirilen bir konteyner; DDoS saldırılarında kullanılabiliyor, kripto para madenciliği amacıyla istismar edilebiliyor veya ağ trafiğini yönlendirmek için ara sunucu (Proxy) altyapısına dönüştürülebiliyor. Ayrıca saldırganlar konteyner içerisindeki verileri çalabiliyor ya da silebiliyor, diğer konteynerlere erişim sağlayabiliyor ve hatta konteyner sınırlarını aşarak kurum ağının geri kalanını da riske atabiliyor.
Kaspersky Container Security (KCS), bünyesindeki yapay zeka asistanı KIRA sayesinde kullanıcıların hatalı yapılandırmaları ve olası açıkları tespit etmesini sağlarken, çözüm önerileri de sunuyor. Bu araştırma kapsamında, geliştiricilerin en sık karşılaştığı güvenlik sorunlarını belirlemek amacıyla Docker Hub’daki bir dizi popüler imaj KCS ile analiz edildi.
Yazılım Açıkları ve Güncelleme Kaynakları Sabote Ediliyor
Geleneksel sunucu sistemlerinin aksine, hazır Docker imajlarında otomatik güvenlik yaması desteği bulunmuyor. Bu nedenle geliştiricilerin, imajları manuel olarak yeniden derlemesi ve yayına alması gerekiyor. Bu durum, yaygın kullanılan imajların bile güncelliğini yitirmesine ve bilinen açıkların kapatılamamasına yol açıyor. 1 milyon indirme sınırına ulaşmış 100 rastgele Docker Hub imajı üzerinde yapılan tarama, bu imajların %64’ünde kritik güvenlik açıkları olduğunu gösterdi. Söz konusu açıklar, saldırganların uzaktan kod çalıştırmasına (RCE), sunucu süreçlerini kilitlemesine veya yerel erişim üzerinden en üst düzey yönetici (root) yetkileri elde etmesine imkan tanıyor.
Kaspersky Container Security Kontrol Panelinde Gösterilen: Hazır İstismar Kodları (PoC/Exploit) Bulunan En Kritik 10 Güvenlik Açığı
Yetersiz yama yönetimi, bilinen güvenlik açıklarının kullanılmasına zemin hazırlarken; çok sık güncelleme yapılması da yazılım tedarik zinciri saldırılarına maruz kalma riskini artırıyor. Uzmanlara göre bu dengeyi kurabilmek için güvenlik ekiplerinin bağımlılıkları güvenilir sürümlere sabitlemesi ve üretim ortamına alınacak tüm konteyner görüntülerini zararlı yazılım açısından taraması gerekiyor.
Hatalı Yapılandırma Güvenliği Boşa Çıkarıyor
Bir konteyner görüntüsü tamamen güncel olsa bile yanlış yapılandırılmışsa ciddi riskler taşıyabiliyor. Gömülü anahtarlar ve gizli bilgiler, devre dışı bırakılmış kimlik doğrulama mekanizmaları, varsayılan parolalar ve hatalı dosya izinleri saldırganlar tarafından kolayca kullanılabiliyor. Üstelik bu tür yapılandırma hataları, görüntünün temel katmanlarına ilk geliştiriciler tarafından yerleştirilmiş olabiliyor. Bu nedenle risklerin tespit edilebilmesi için tüm katmanların ve derleme komutlarının ayrıntılı şekilde incelenmesi gerekiyor.
Araştırmada öne çıkan yapılandırma kaynaklı güvenlik sorunları şunlar oldu:
- Kimlik Bilgilerinin Güvensiz Yönetimi: Bazı konteynerlerde varsayılan parolalar ortam değişkenleri aracılığıyla veya doğrudan Dockerfile içerisinde tanımlanabiliyor. Bu bilgilerin değiştirilmemesi durumunda saldırganlar uygulamaya erişim sağlayabiliyor. Ayrıca parolaların komut satırı parametreleri üzerinden iletilmesi de risk oluşturuyor; çünkü bu bilgiler sistemdeki diğer kullanıcılar tarafından görüntülenebiliyor.
- Konteyner İçinde Yetki Yükseltme (Privilege Escalation): Web uygulamaları ve ağ servislerindeki Uzaktan Kod Çalıştırma (RCE) açıkları, Linux sistemlerine yönelik saldırılarda en yaygın başlangıç noktalarından biri olmaya devam ediyor. Bu tür servisler genellikle sınırlı yetkilerle çalıştığı için saldırıların etkisi kısmen azaltılabiliyor. Ancak saldırganın konteyner içerisinde root yetkileri elde etmesi durumunda risk önemli ölçüde büyüyor. Root erişimi, saldırganın konteyner içindeki tüm süreçleri kontrol etmesine, faaliyetlerini gizlemesine ve konteyner dışına çıkarak daha geniş sistemlere erişmeye çalışmasına imkân tanıyor. Yetki yükseltme çoğu zaman sudo üzerinden parola gerektirmeden root olarak komut çalıştırılabilmesi veya dosya ve dizin izinlerinin hatalı yapılandırılması gibi nedenlerle mümkün oluyor.
- Bütünlük Kontrollerinin Yapılmaması: Yazılımların bütünlüğü doğrulanmadan indirilmesi, altyapıyı yazılım manipülasyonu riskine açık hale getirebiliyor. Örneğin bir arşivin HTTP üzerinden indirilmesi ve bütünlük kontrolünün yapılmaması, görüntü oluşturma sürecinde ortadaki adam (Man-in-the-Middle) saldırılarının önünü açabiliyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı
