Google Dialogflow CX'te Kritik Açık: Sohbet Robotları Ele Geçirilebiliyordu Windows

Google Dialogflow CX'te Kritik Açık: Sohbet Robotları Ele Geçirilebiliyordu

Google Dialogflow CX'teki kritik bir güvenlik açığı, saldırganların sohbet robotlarını ele geçirmesine olanak tanıyordu.

Google'ın Dialogflow CX hizmetinde keşfedilen kritik bir güvenlik açığı, saldırganların aynı Google Cloud projesindeki diğer sohbet robotlarını ele geçirmesine izin veriyordu. Güvenlik firması Varonis tarafından bulunan ve 'Rogue Agent' olarak adlandırılan bu açık, yalnızca Dialogflow'un Playbook'larını ve özel Python kodu eklemeye izin veren Code Blocks özelliğini kullanan kuruluşları etkiliyordu. Saldırganın, bir robota düzenleme iznine sahip olması yeterliydi; bu izinle tüm projedeki robotlara erişebiliyordu.

Açığın temelinde, Code Block'ların çalıştırıldığı ortak Cloud Run ortamındaki yetersiz izolasyon yatıyordu. Varonis araştırmacıları, kodun sarmalandığı 'code_execution_env.py' dosyasının yazılabilir olduğunu keşfetti. Bir saldırgan, kendi kötü amaçlı kodunu içeren bir Code Block ile bu dosyayı değiştirerek, tüm robotların çalıştırdığı kodları kontrol edebiliyor, canlı konuşmaları okuyabiliyor, kullanıcı verilerini çalabiliyor ve robotun ağzından sahte mesajlar gönderebiliyordu.

Açığın etkileri bununla sınırlı kalmadı. Aynı ortamda sınırsız internet erişimi ve Instance Metadata Service (IMDS) keşfi gibi ek zafiyetler de tespit edildi. Sınırsız internet erişimi, verilerin doğrudan saldırganın sunucusuna gönderilmesine olanak tanırken, IMDS üzerinden Google tarafından yönetilen bir hizmet hesabının kimlik bilgilerine erişilebiliyordu. Ayrıca, yapılan değişiklikler Google Cloud Logging tarafından kaydedilmediği için saldırının tespit edilmesi oldukça zordu.

Sistem Güvenliği

Varonis, Kasım 2025'te Google'ın Güvenlik Açığı Ödül Programı aracılığıyla bildirdiği açığı, Google Nisan 2026'da ilk düzeltmeyi yayınlayarak ve Haziran 2026'da tamamen çözerek yaklaşık yedi ayda kapattı. Herhangi bir CVE numarası atanmadı. Google ve Varonis, açığın gerçek bir saldırıda kullanıldığına dair herhangi bir kanıt bulunmadığını belirtti. Kullanıcıların, Dialogflow API için DATA_WRITE denetim günlüklerini incelemeleri, hatalı kullanıcı isteklerini sorgulamaları ve her bir robottaki Code Block'ları doğrulamaları öneriliyor.

Paylaş: