CISA'da Büyük Veri Sızıntısı: Kongre Hesap Soruyor, Kritik Şifreler Hâlâ Açıkta Yazılım

CISA'da Büyük Veri Sızıntısı: Kongre Hesap Soruyor, Kritik Şifreler Hâlâ Açıkta

CISA yüklenicisi, AWS GovCloud anahtarlarını GitHub'da yayınladı. Kongre harekete geçti, ancak kritik RSA anahtarı hâlâ geçerli.

ABD Kongresi'nin her iki kanadındaki milletvekilleri, Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) ciddi bir veri sızıntısıyla ilgili yanıt talep ediyor. KrebsOnSecurity'nin bu hafta yayımladığı habere göre, bir CISA yüklenicisi, ajansın AWS GovCloud anahtarlarını ve çok sayıda gizli bilgiyi kasıtlı olarak halka açık bir GitHub hesabında yayınladı. Olay, CISA'nın sızıntıyı kontrol altına almak ve sızdırılan kimlik bilgilerini geçersiz kılmak için hâlâ mücadele ettiği bir dönemde gerçekleşti.

18 Mayıs'ta KrebsOnSecurity, CISA'nın kod geliştirme platformuna yönetici erişimi olan bir yüklenicinin, 'Private-CISA' adlı halka açık bir GitHub profili oluşturduğunu ve bu profile onlarca dahili CISA sistemine ait düz metin kimlik bilgilerini eklediğini bildirdi. Açığa çıkan sırları inceleyen uzmanlar, kod deposunun commit kayıtlarının, CISA yüklenicisinin hassas kimlik bilgilerini halka açık depolarda yayınlamaya karşı GitHub'ın yerleşik korumasını devre dışı bıraktığını gösterdiğini söyledi.

CISA, sızıntıyı kabul etti ancak verilerin ne kadar süre açıkta kaldığına dair soruları yanıtsız bıraktı. Ancak, artık erişilemeyen Private-CISA arşivini inceleyen uzmanlar, deponun ilk olarak Kasım 2025'te oluşturulduğunu ve bireysel bir operatörün depoyu düzenli bir proje deposu olarak değil, bir çalışma not defteri veya senkronizasyon mekanizması olarak kullandığına işaret eden bir desen sergilediğini belirtti.

Nasıl Önlem Alınmalı?

Yazılı bir açıklamada CISA, 'olay sonucunda herhangi bir hassas verinin tehlikeye atıldığına dair bir işaret bulunmadığını' söyledi. Ancak, 19 Mayıs'ta CISA Geçici Direktörü Nick Andersen'e yazdığı bir mektupta Senatör Maggie Hassan (D-NH), bu kimlik bilgisi sızıntısının, siber ihlalleri önlemekle görevli ajansın kendisinde böyle bir güvenlik hatasının nasıl meydana gelebildiğine dair ciddi soruları gündeme getirdiğini belirtti. Senatör Hassan, 'Bu haber, ABD kritik altyapısına yönelik önemli siber tehditlerin olduğu bir dönemde CISA'nın iç politika ve prosedürlerine ilişkin ciddi endişeleri artırıyor' dedi.

Sistem Güvenliği

Temsilciler Meclisi İç Güvenlik Komitesi'nin kıdemli üyesi Bennie Thompson (D-MS), senatörün endişelerini yineledi. Thompson, 19 Mayıs'ta CISA geçici direktörüne yazdığı ve Komite'nin Siber Güvenlik ve Altyapı Koruma Alt Komitesi'nin kıdemli üyesi Temsilci Delia Ramirez (D-Ill) tarafından da imzalanan mektubunda, 'Bu olayın, zayıflamış bir güvenlik kültürünü ve/veya CISA'nın sözleşmeli desteğini yeterince yönetememesini yansıttığından endişeliyiz. Düşmanlarımızın -Çin, Rusya ve İran gibi- federal ağlara erişim ve kalıcılık kazanmaya çalıştığı bir sır değil. 'Private-CISA' deposundaki dosyalar, tam da bunu yapmak için gerekli bilgi, erişim ve yol haritasını sağladı' ifadelerini kullandı.

KrebsOnSecurity, CISA'nın ilk olarak güvenlik firması GitGuardian tarafından veri sızıntısı konusunda bilgilendirilmesinden bir hafta sonra bile, ajansın hâlâ açığa çıkan anahtarların ve sırların çoğunu geçersiz kılmak ve değiştirmek için çalıştığını öğrendi. 20 Mayıs'ta KrebsOnSecurity, GitHub ve diğer halka açık platformlarda barındırılan kodlarda gizli anahtarları ve diğer sırları keşfetmek için açık kaynaklı bir araç olan TruffleHog'un yaratıcısı Dylan Ayrey'den haber aldı. Ayrey, CISA'nın Private-CISA deposunda açığa çıkan ve CISA kurumsal hesabına ait olan ve CISA-IT GitHub organizasyonuna tüm kod depolarına tam erişimle kurulu bir GitHub uygulamasına erişim sağlayan bir RSA özel anahtarını hâlâ geçersiz kılmadığını söyledi.

Ayrey, 'Bu anahtara sahip bir saldırgan, CISA-IT organizasyonundaki her deponun kaynak kodunu okuyabilir, özel depolar dahil; CI/CD boru hatlarını ele geçirmek için haydut kendi kendine barındırılan çalıştırıcılar kaydedebilir ve depo sırlarına erişebilir; dal koruma kuralları, web kancaları ve dağıtım anahtarları dahil olmak üzere depo yönetici ayarlarını değiştirebilir' dedi. KrebsOnSecurity, 20 Mayıs'ta CISA'yı Ayrey'in bulguları hakkında bilgilendirdi. Ayrey, CISA'nın bu bildirimden sonra açığa çıkan RSA özel anahtarını geçersiz kıldığını, ancak ajansın teknoloji portföyünde kullanılan diğer kritik güvenlik teknolojilerine ait sızdırılmış kimlik bilgilerini henüz döndürmediğini belirtti.

Önemli Gelişmeler

Ayrey, şirketi Truffle Security'nin GitHub ve diğer kod platformlarını açık anahtarlar için izlediğini ve etkilenen hesapları hassas veri sızıntılarına karşı uyarmaya çalıştığını söyledi. Bunu GitHub'da kolayca yapabiliyorlar çünkü platform, halka açık kod depolarındaki tüm commit'lerin ve değişikliklerin kaydını içeren canlı bir yayın yayınlıyor. Ancak siber suçluların da bu genel yayınları izlediğini ve kod commit'lerinde yanlışlıkla yayınlanan API veya SSH anahtarlarına genellikle hızla saldırdığını belirtti. Ayrey, pratikte, siber suç gruplarının veya yabancı düşmanların da bu CISA sırlarının yayınlanmasını fark etmiş olmasının muhtemel olduğunu ve en ciddi olanının Nisan 2026'nın sonlarında gerçekleştiğini söyledi.

Kaynak: krebsonsecurity.com

Paylaş: