Google Dialogflow CX Chatbot’larda Kritik Güvenlik Açığı: Rogue Agent Saldırısı Siber Güvenlik

Google Dialogflow CX Chatbot’larda Kritik Güvenlik Açığı: Rogue Agent Saldırısı

Google Dialogflow CX'teki kritik Rogue Agent açığı, saldırganların chatbot'ları ele geçirmesine ve kullanıcı verilerini çalmasına izin veriyordu. Goog

Google'ın Dialogflow CX hizmetinde keşfedilen kritik bir güvenlik açığı, saldırganların chatbot'ları ele geçirmesine ve hassas kullanıcı verilerini çalmasına olanak tanıyordu. Varonis güvenlik firması tarafından 'Rogue Agent' olarak adlandırılan bu açık, yalnızca Code Block özelliğini kullanan Dialogflow CX ajanlarını etkiliyordu. Saldırgan, aynı Google Cloud projesindeki diğer Code Block etkin ajanlara sızarak canlı sohbetleri okuyabiliyor, kullanıcıların paylaştığı verileri çalabiliyor ve chatbot'lar aracılığıyla sahte mesajlar gönderebiliyordu.

Açığın tetiklenmesi için saldırganın dialogflow.playbooks.update iznine sahip olması gerekiyordu. Bu izin, genellikle kötü niyetli bir içeriden veya ele geçirilmiş bir geliştirici hesabından gelebileceği için, açık uzaktan kimlik doğrulaması gerektirmeyen bir saldırı değildi. Ancak, bu izne sahip bir saldırgan, projedeki tüm ajanlara erişebiliyordu. Google, açığı kapatmış olsa da, Varonis ve Google, bu açığın gerçek bir saldırıda kullanıldığına dair herhangi bir kanıt bulunmadığını belirtiyor.

Dialogflow CX'in Code Block özelliği, geliştiricilerin chatbot'ların konuşma akışına özel Python kodu eklemesine olanak tanır. Bu kod, Google tarafından yönetilen bir Cloud Run ortamında çalışır. Varonis, bu ortamda ajanlar arasında herhangi bir izolasyon olmadığını keşfetti. Ortamda bulunan code_execution_env.py dosyası, tüm ajanların Code Block'larını çalıştırmak için kullanılan bir sarmalayıcıydı ve yazma iznine sahipti. Saldırgan, bu dosyayı kendi sürümüyle değiştirerek tüm ajanların çalıştırdığı kodu kontrol edebiliyordu.

Sonuç ve Değerlendirme

Bu dosya değişikliği, saldırganın her bir konuşmayı okuyup harici bir sunucuya göndermesine ve chatbot'ların sahte mesajlar yayınlamasına olanak tanıyordu. Örneğin, saldırgan kullanıcılardan şifrelerini yeniden girmelerini isteyerek kimlik avı saldırısı düzenleyebiliyordu. Üstelik, saldırgan Dialogflow konsolundaki Code Block'u orijinal haliyle geri yükleyerek izlerini silebiliyordu, ancak değiştirilen dosya konteynırda çalışmaya devam ediyordu.

Uzmanların Görüşleri

Varonis, dosya değişikliğine gerek kalmadan da iki ek güvenlik sorunu tespit etti. İlk olarak, Code Block ortamının kısıtlanmamış internet erişimi vardı. Bu, VPC Service Controls gibi güvenlik önlemlerini aşarak veri sızıntısına ve uzaktan kontrol kanalı oluşturulmasına olanak tanıyordu. İkinci olarak, ortam Instance Metadata Service (IMDS) endpoint'ini açığa çıkarıyordu. Bu endpoint, bulut kimlik bilgileri sağlasa da, ilgili hizmet hesabının düşük ayrıcalıklı olması nedeniyle risk sınırlıydı; asıl sorun, kod yürütme ortamının IMDS'ye erişmemesi gerektiğiydi.

Açığın tespit edilmesi oldukça zordu çünkü dosya değişikliği Google'ın ortamında gerçekleştiği için müşteri tarafından görülemiyor ve Cloud Logging'de kaydedilmiyordu. Ancak, Varonis'in önerdiği kontrollerle müşteriler, açıktan etkilenip etkilenmediklerini kontrol edebilir. dialogflow.playbooks.update iznine sahip hesapların denetlenmesi, DATA_WRITE denetim günlüklerinin incelenmesi ve Dialogflow konsolundaki Code Block'ların doğrulanması bu kontroller arasında yer alıyor.

Rogue Agent açığı, yapay zeka güvenliği alanında farklı bir yaklaşım sergiliyor. Birçok AI güvenlik açığı modeli kandırmaya dayanırken, Rogue Agent doğrudan modeli hedef almıyor. Bunun yerine, normal bir geliştirici özelliği olan Code Block'ları ve paylaşılan bir çalışma zamanını kötüye kullanıyor. Bu durum, içerik düzenleme izni gibi görünen bir iznin aslında kod yürütme izni olduğunu gösteriyor. Bu nedenle, ajan düzenleme izinlerinin yüksek riskli olarak değerlendirilmesi ve sıkı denetime tabi tutulması gerekiyor.

Nasıl Önlem Alınmalı?

Google, Kasım 2025'te Varonis tarafından bildirilen açığı Nisan 2026'da ilk düzeltmeyi yayınlayarak ve Haziran 2026'da tamamen çözerek yaklaşık yedi ayda kapattı. Herhangi bir CVE numarası atanmadı. Kullanıcıların, Dialogflow CX kullanıyorsa ve Code Block özelliğini etkinleştirdiyse, yukarıdaki kontrolleri yaparak güvenliklerini sağlamaları önerilir.

Kaynak: thehackernews.com

Paylaş: