• Merhaba, en keyifli Türkçe genel forum sitesi Dipsiz Forum'a hoş geldiniz! Sitemizi REKLAMSIZ ve tüm özelliklerinden faydalanarak kullanmak için sadece 3 saniye süren ücretsiz kayıt işlemiyle aramıza katılın.

Bazı Python Kütüphanelerinin AWS Keylerini Çaldığı Ortaya Çıktı

Kayıt tarihi
29 Temmuz 2021
Mesaj
839
Tepkiler
602
pypi-640x359.jpg


Güvenlik araştırmacıları, resmi üçüncü parti yazılım deposunda çeşitli AWS kimlik bilgilerini sızdırmak amacıyla tasarlanmış bir dizi Python kütüphanesi keşfetti.

Sonatype firmasından Ax Sharma’nın dediğine göreloglib-modules, pyg-modules, pygrata, pygrata-utils ve hkg-sol-utils kütüphaneleri AWS sunuculara ait kimlik bilgilerini uzak bir sunucuya aktarıyordu.

Ele geçirilmiş yüzlerce bilgiyi TXT biçiminde saklayan uç noktalar, bunlara başkasının erişmesini engelleyecek herhangi bir önlem de almadı. Herkes rahatlıkla erişim sağlayabiliyor, gizlilik derecesi yüksek bu verileri görüntüleyebiliyordu.

Kötü amaçlı kod “loglib-modules” ve “pygrata-utils”e eklendiğinden bu bağımlılıkları kullanan diğer kütüphanelerin de dolaylı olarak etkilendiği kaydedildi. Ax Sharma çalınan kimlik bilgilerinin bilerek mi yoksa hatalı OPSEC uygulamaları yüzünden mi açık halde barındırıldığını anlayamadığını söyledi. İlgili Python paketleri durumun anlaşılmasının hemen ardından PyPi üzerinden kaldırıldı.
 

Yeni konular

Top