Azure’da “Sessiz Yama” Tartışması: AKS Backup Yetki Açığı Krizi Gündemde
Azure Backup for AKS hizmetinde “Backup Contributor” rolünün cluster-admin yetkisine yükselebilmesine yol açtığı iddia edilen güvenlik açığı, Microsoft’un reddi ve sonrasında yapılan sessiz değişikliklerle siber güvenlik dünyasında tartışma yarattı.
Microsoft Microsoft Azure altyapısında yer alan Azure Backup for AKS hizmetine ilişkin kritik bir yetki yükseltme açığı iddiası siber güvenlik gündeminde geniş yankı uyandırdı.
Güvenlik araştırmacısı Justin O'Leary, düşük yetkili “Backup Contributor” rolüne sahip kullanıcıların Kubernetes ortamında “cluster-admin” seviyesine yükselebileceğini öne sürdü.
Açığın Teknik Detayları
Araştırmaya göre sorun, Microsoft Azure üzerindeki Kubernetes yönetimi ile RBAC yetkilendirme mekanizmalarının yanlış etkileşiminden kaynaklanıyor.
Saldırı senaryosunda kullanıcı, Azure Backup for AKS üzerinden yedekleme işlemini başlatarak otomatik “Trusted Access” yapılandırmasını tetikliyor ve bu süreçte cluster-admin yetkisi elde edebiliyordu.
Bu durum “confused deputy” zafiyeti olarak tanımlandı.
Microsoft–Araştırmacı Görüş Ayrılığı
Microsoft Güvenlik Müdahale Merkezi (MSRC), açığın bir güvenlik zafiyeti olmadığını ve yalnızca zaten yönetici erişimine sahip kullanıcıları etkilediğini savundu.
Ancak Justin O'Leary, sistemin aslında hiçbir Kubernetes yetkisi olmayan bir kullanıcının cluster-admin seviyesine çıkmasına izin verdiğini belirtti.
Araştırmacı ayrıca Microsoft’un raporu “AI-generated content” olarak işaretleyerek değerlendirmeyi reddettiğini iddia etti.
CERT/CC Doğrulaması
Olay, bağımsız inceleme için CERT Coordination Center (CERT/CC) tarafından ele alındı. Kurumun açığı doğruladığı ve “VU#284781” kimliğini verdiği aktarıldı.
Ancak CVE sürecine ilişkin tartışmalar nedeniyle açıklamanın planlanan tarihte yayımlanmadığı ve sürecin daha sonra kapatıldığı bildirildi.
“Sessiz Yama” İddiası
Araştırmacıya göre Microsoft, resmi CVE yayımlamadan sistemi değiştirerek açığı kapattı. Bu değişiklik sonrası:
- Trusted Access yapılandırması manuel hale getirildi
- Yeni izin kontrolleri eklendi
- Hata mesajları değiştirildi
Microsoft Azure tarafı ise yaptığı açıklamada bunun “beklenen davranış” olduğunu ve bir güvenlik açığı bulunmadığını savundu.
Güvenlik Dünyasında Tartışma
Justin O'Leary, CVE yayımlanmamasının kurumların risk takibini zorlaştırdığını belirterek “sessiz yamaların görünürlük sorununa yol açtığını” ifade etti.
Olay, büyük teknoloji şirketleri ile güvenlik araştırmacıları arasındaki raporlama ve açıklama süreçlerine ilişkin tartışmaları yeniden gündeme taşıdı.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
