محققان دو تکنیک حمله جدید علیه ابزارهای infrastructure-as-code (IaC) و policy-as-code (PaC) مانند Terraform HashiCorp و Open Policy Agent (OPA) Styra را افشا کردهاند که از زبانهای اختصاصی دامنه خاص (DSL) برای نفوذ به پلتفرمهای ابری و استخراج دادهها استفاده میکند.
از آنجایی که DSL زبانهای سختشده با قابلیتهای محدود هستند، قرار است از زبانهای برنامهنویسی استاندارد ایمنتر باشند که در واقع هم هستند. با این حال، امنیت بیشتر به معنای آسیبپذیر نبودن نیست. روش حمله ابداع شده، زنجیره تامین را هدف قرار میدهد و در آن نفوذگر از طریق کلید دسترسی به خطر افتاده برای درج یک خطمشی مخرب Rego به سرور OPA، دسترسی غیرمجاز به دست میآورد، که متعاقباً در مرحله تصمیمگیری خطمشی استفاده میشود تا اعمال مخربی مانند استخراج اعتبار با استفاده از تابع داخلی تحت عنوان “http.send” استفاده از آنها را مجاز کند.
موتور خطمشی منبع باز و محبوب OPA، به سازمانها اجازه میدهد سیاستها را در محیطهای ابری مانند میکروسرویسها، CI/CD pipeline و Kubernetes اعمال کنند. خط مشیها با استفاده از یک زبان کوئری بومی به نام Rego تعریف میشوند که سپس توسط OPA برای بازگشت یک تصمیم ارزیابی میشوند. حتی در مواردی که استقرار OPA استفاده از http.send را محدود کند، میتوان از تابع دیگری به نام “net.lookup_ip_addr” برای Data smuggling با استفاده از جستجوهای DNS از طریق تکنیکی به نام DNS tunneling استفاده کرد.
https://thehackernews.com/2024/11/cybersecurity-flaws-in-iac-and-pac.html
