Güvenlik araştırmacıları, bilgisayar korsanlarının siber saldırıları uzaktan başlatmak, veri çalmak ve savunmasız cihazlar için tarama yapmak için çevrimiçi programlama öğrenme platformlarını kötüye kullanabileceğini uyarıyor.
DataCamp olarak bilinen en az bir platform, tehdit aktörlerinin kötü amaçlı araçları derlemesine, kötü amaçlı yazılımları barındırmasına veya dağıtmasına ve harici hizmetlere bağlanmasına izin verir.
DataCamp, çeşitli programlama dillerini ve teknolojilerini (R, Python, Shell, Excel, Git, SQL) kullanarak veri bilimini öğrenmek isteyen 10 milyona yakın kullanıcıya entegre geliştirme ortamları (IDE) sağlar.
Platformun bir parçası olarak, DataCamp kullanıcıları, özel kodu uygulamak ve yürütmek, dosyaları yüklemek ve veritabanlarına bağlanmak için bir IDE içeren kendi kişisel çalışma alanlarına erişir.
IDE ayrıca kullanıcıların Python kütüphanelerini içe aktarmasına, Respositeries'i indirmesine ve derlemesine ve ardından derlenmiş programları yürütmesine olanak tanır. Başka bir deyişle, çalışkan bir tehdit oyuncunun doğrudan DataCamp platformundan uzak bir saldırı başlatması gereken herhangi bir şey.
Bir tehdit oyuncunun Saldırının kökenini gizlemek için DataCamp'ın kaynaklarını kullanmış olabileceği bir olaya yanıt verdikten sonra, siber güvenlik şirketi Profero'daki araştırmacılar bu senaryoyu araştırmaya karar verdiler.
DataCamp'ın gelişmiş çevrimiçi Python IDE'nin kullanıcılara Amazon S3 depolama kovasına bağlanmaya izin veren üçüncü taraf modülleri yükleme olanağı sunduğunu buldular.
Profero CEO'su Omri Segev Moyal, BleepingComputer ile paylaşılan bir raporda, bu senaryoyu DataCamp platformunda denediklerini ve bir S3 kovasına erişebildiklerini ve tüm dosyaları platformun web sitesindeki çalışma alanı ortamına soktuğunu söyledi.
Araştırmacı, DataCamp'tan gelen etkinliğin tespit edilmeyeceğini ve "bağlantıyı daha da inceleyenlerin bile çıkmaza çarpacağını, çünkü DataCamp IP aralığını listeleyen bilinen bir kesin kaynak olmadığı için" olduğunu söylüyor.
Bu saldırı senaryosuyla ilgili soruşturma daha da ileri gitti ve araştırmacılar, NMAP Ağı Haritalama Aracı gibi tipik olarak bir siber saldırıda kullanılan araçları içe aktarmaya veya yüklemeye çalıştılar.
NMAP'ı doğrudan yüklemek mümkün değildi, ancak DataCamp onu derlemeye ve derleme dizininden ikili yürütmeye izin verdi.
Profero'nun olay müdahale ekibi, bir terminal kullanarak dosya yükleyip yükleyemeyeceklerini ve paylaşmak için bir bağlantı alıp alamayacaklarını test etti. Antivirüs çözeltilerinden tespit için standart dosya olan EICAR'ı yükleyebildiler ve dağıtmak için bir bağlantı elde ettiler.
Profero'nun bugünkü raporu, indirme bağlantısının basit bir web isteği kullanarak enfekte bir sisteme ek kötü amaçlı yazılım indirmek için kullanılabileceğini belirtiyor.
Ayrıca, bu indirme bağlantıları, kimlik avı saldırıları için kötü amaçlı yazılım barındırma veya ek yükler indirmek için kötü amaçlı yazılımlar gibi diğer saldırılarda kötüye kullanılabilir.
BleepingComputer, Profero'nun araştırması hakkında yorum yapmak için DataCamp'e ulaştı ve bir sözcü, platformun "canlı bir bilgi işlem ortamı" sağladığı için "bazı bireylerin sistemlerimizi kötüye kullanmaya çalışma riski" olduğunu söyledi.
DataCamp, hizmet şartlarına göre, platformun kötüye kullanılmasının yasak olduğunu ancak tehdit aktörlerinin kurallara saygı göstermeleri için kullanıcılar olmadığını belirtiyor.
DataCamp, kötüye kullanımın platformdaki diğer kullanıcıları etkilemesini önlemek için "makul önlemler aldıklarını" ve sistemlerini yanlış davranış için izlediklerini söyledi.
"Buna ek olarak, bireysel yanlış uygulamayı önlemek için, sorumlu bir açıklama politikası uyguladık ve riski azaltmak için sistemlerimizi sürekli olarak izledik" - DataCamp
Profero araştırmalarını diğer öğrenme platformlarına genişletmese de, araştırmacılar Datacamp'ın bilgisayar korsanlarının kötüye kullanabileceği tek kişi olmadığına inanıyorlar.
Bir terminal sağlayan bir başka platform, gönüllüler tarafından yönetilen açık bir altyapı üzerinde çalışan bir proje olan Binder'dır. Hizmet, diğer altyapılarda (GitHub, GITLAB) barındırılan depoları tarayıcıları aracılığıyla kullanıcılara sunar.
Projeden bir temsilci, BleepingComputer'a Binderhub örneğinin dağıttıkları "bir saldırı zincirinde nasıl kullanılabileceğini sınırlamak için birkaç önlem uygular."
Kısıtlamalar, kullanılabilecek kaynaklar, bant genişliği ve potansiyel olarak kötü niyetli uygulamaları engelleme için geçerlidir.
Bağlayıcı temsilcisi, Profero'nun raporu daha fazla adımın gerekli olduğunu gösteriyorsa, Binderhub kaynak koduna daha fazla güvence eklemeye istekli olduklarını söyledi.
Profero, çevrimiçi kod öğrenme platformlarının sağlayıcılarını, giden müşteri trafik ağ geçitlerinin bir listesini tutmaya ve savunucuların bir saldırının kökenini bulabilmeleri için halka açık hale getirmeye teşvik eder.
Şirketin tavsiyesi, kullanıcıların kötüye kullanım raporları göndermeleri için güvenli ve kolay bir yol uygulamayı da içerir.
Pypi, kritik projeler için 2FA zorunludur, geliştirici geri iter
Django yeni sürümlerde SQL enjeksiyon güvenlik açığını düzeltir
Macmillan, muhtemel fidye yazılımı saldırısından sonra sistemleri kapatır
Ukrayna savaş başladığından beri yaklaşık 800 siber saldırıyı hedef aldı
Walmart, Yanluowang Ransomware Saldırısı tarafından vurulduğunu reddetti
Kaynak: Bleeping Computer