Şubat 2023’te İsrailli bulut güvenlik firması Dig, Google Cloud Platform’un (GCP) Cloud SQL hizmetinde ciddi bir güvenlik açığı olduğunu açıkladı. Güvenlik açığı, bir saldırganın ayrıcalıkları temel bir Cloud SQL kullanıcısından bir kapsayıcıdaki tam teşekküllü bir sistem yöneticisine yükseltmesine ve gizli, hassas dosyalara, parolalar ve müşteri verileri gibi dahili GCP verilerine erişmesine olanak sağlamış olabilmektedir.
Güvenlik açığı, Cloud SQL’in kapsayıcı görüntülerini işleme biçimindeki bir yanlış yapılandırmadan kaynaklanmaktaydı. Bir kullanıcı yeni bir Cloud SQL örneği oluşturduğunda, örnek için temel olarak kullanılacak bir kapsayıcı görüntüsü belirtebilir. Ancak, kullanıcı güvenli bir imaj belirtmezse, örnek, güvenlik saldırılarına karşı sağlamlaştırılmamış varsayılan bir imajla oluşturulacaktır.
Saldırgan, kötü amaçlı bir kapsayıcı görüntüsü oluşturup Google Cloud Registry’ye yükleyerek bu güvenlik açığından yararlanabilmektedir. Görüntü yüklendikten sonra, saldırgan yeni bir Cloud SQL örneği oluşturabilmektedir. Bu yüzden kötü amaçlı görüntüyü temel görüntü olarak belirleyebilmektedir. Örnek oluşturulduğunda, saldırgan örneğe kök erişimi sağlayabilir ve örnekte depolanan tüm verilere erişebilmektedir.
Google o zamandan beri güvenlik açığını düzeltti ve bir güvenlik danışma belgesi yayınladı. Ancak, güvenlik açığının açıklanmasından birkaç ay önce Cloud SQL’de mevcut olduğunu belirtmek önemlidir. Bu, saldırganların gizli verilere erişim elde etmek için güvenlik açığından zaten yararlanmış olabileceği anlamına gelmektedir.
Cloud SQL kullanıyorsanız örneklerinizi derhal yazılımın en son sürümüne güncellemelisiniz. Ayrıca güvenlik ayarlarınızı gözden geçirmeli ve güçlü parolalar ve şifreleme kullandığınızdan emin olmalısınız.
Verilerinizi korumak için atabileceğiniz bazı ek adımlar şunlardır:
- Cloud SQL örneklerinize erişimi kısıtlamak için bir güvenlik duvarı kullanın.
- Cloud SQL örneklerinizdeki tüm etkinliği izlemek için Cloud Audit Logging’i etkinleştirin.
- Cloud SQL örneklerinize kimin erişebileceğini kontrol etmek için Cloud Identity and Access Management’ı (IAM) kullanın.
- Bekleyen verilerinizi şifrelemek için Cloud Key Management Service’i (KMS) kullanın.
Bu adımları uygulayarak, verilerinizin yetkisiz erişime karşı korunmasına yardımcı olabilirsiniz.