Ortam Değişkenleri ve Kütüphane Yollarını Ezme Zafiyeti (Extraction-Triggered Overwrite)

Genel Bakış

Geleneksel "Zip Slip" klasör atlama atakları (Zip Slip / PAIT-EXDIR-100) /etc/passwd gibi ana root (işletim) sistemi dosyalarına ulaşmayı kovalarken, PAIT-EXDIR-102 alarmı ise bizzat yazılımcının çalıştığı spesifik proje dizinini zindan eden, benzer derece ezici bir siber suikasti tespit eder. Bu alarm, dışarı çıkarılması okunan (extracted) bir yapay zeka arşivinin asıl gaye olarak Uygulama Bağımlılık Ağaçlarını (Dependency tree) ve sistem kütüphanelerinin yollarını ezmeyi (üzerini kendi kodlarıyla yazmayı) hedeflediğinde kayıtlara geçer.

Sektörde veri mühendisleri Makine Öğrenimi dosyası kalabalığını genellikle çalıştıkları aktif projeye eklemeler yapmak için doğrudan mevcut Python venv veya ortam klasörlerinin içine çıkarma (Extract) eğilimindedir. Eresus Sentinel sisteminiz bu noktada PAIT-EXDIR-102 raporluyorsa, zip'in içinden sızan sahte bir yapı; Python'un çekirdek kütüphanelerinin (Örneğin sahte bir libc.so.6 dinamik dll dosyası yüklenmesi) yahut ortamın site-packages verilerinin üzerine yazılarak Python işletim ortamını bir silaha çevirmeye hazırlanmıştır.

Dinamik Uygulama Tehdidi

ML Arşivi klasörlere ayrışırken rotalarındaki gizli veriler asıl verilerin yerini alır. __init__.py isimlendirmeli yerel zararlı bir dosya, okunduğu taktirde projedeki LD_PRELOAD komut önbelleğine doğrudan bulaşabilir. İşletim sistemi yeniden dosyanın içerisindeki ezme komutuna kurban gittiğinden şirket içi yetkili bir eleman kodu normalce yazıp (import torch veya python calistir.py diyerek) sistemdeki yazılımı aslen sadece yönetmek isterken, o virüs Python alt motoruna tırmandığından gizlice her adımı kopyalar.

Saldırı Nasıl Gerçekleşiyor (How The Attack Works)

Siber ajanların kurban ortamına sıfırdan truva atı (Trojans) vs atmasına lüzum kalmamıştır; ortamı asıl besleyen Python işletme yazılımının çekirdeğini (kök referans dosyalarını) ele geçirmişlerdir.

sequenceDiagram
    participant C2 as Korsan Yönetüm Sunucusu
    participant File_System as Yerel Klasör (Zafiyetli Python)
    participant Python_Env as Venv (Sanal Çalışma Ortamı)
    participant OS as Kurbanın İşletim Sistemi

    C2->>C2: Python sistemi bağımlılıklarına benzetilmiş sahte bir .so yaratır
    C2->>File_System: Arşivi (.zip) ML platformlarına modelmişçesine servis eder
    Python_Env->>File_System: Kullanıcı dosyayı ortamındaki aktif Venv projelerine çeker
    Python_Env->>OS: Extract esnasında kütüphaneler hedefteki rotayla asıl dosyalarını ezerek kaydeder
    OS->>OS: Saldırganın dinamik (`.so` v.b) komutları sisteme yapışır
    Python_Env->>Python_Env: Şirket personeli `import torch` der 
    Python_Env->>C2: C2 korsanıyla derhal sessiz bir Remote Session başlatılır (Cihaza girilir)

Önemli Noktalar

Sessiz Kütüphane Kaçırma (Silent Library Hijacking): Klasöre eklenen .py komutu ortamdaki asıl ve güvenilir dosyanın kendi ismini taşıyarak; Python'a asıl dosya çağrıldığında yanlış olan bu kod bloğunu şifresizce dahil etmeye teşvik eder. Güvenlik bu sinsi tırmanışı göremez.
Sanal Ortam Açıkları (Venv Vulnerability): İşlemleri ana sunucudan (root) kopartıp, sandboxed edilmiş venv köşelerinde tutarak güvende hissetmek bile yeterli gelmez; virüs direk o projenin merkezindeki kök bileşene çöktüğünden projenin tamamı (Payload) radyoaktif yapı barındırarır.
Kalıcılık Modu (Persistence): Bu virüs kendini göstermeden kurban kullanıcının o Python dosyalarını çalışıp da AWS şifresini tuşlayana (authenticate) dek sadece pusuya yatarak haftalarca sessizce uyuyabilir. Bilgiler girdiğindeyse saniyede otonom kopyası merkeze fırlar.

Etkisi

Zehirlenmiş lokal Python modulleri tam Cihaz Kontrolü Devri ile eşdeğer etki spektrumuna sahiptir. Standart EDR cihazları zafiyeti göremez çünkü virüs o ana dek bir şüphe kodu salgılamaz (İşletim eklentisi olarak yatış halindedir). O projedeki algoritmaların ulaştığı ve dokunduğu tüm veriler (şirket tasarımları, veritabanı okumaları, müşterilere dair API sorguları vs.) karanlık ağlarda pusuda yatan bilgisayar korsanlarına o an sessiz telemetrilerle ulaştırılır.

En İyi Çözüm Pratikleri

Bağımlılık üzerine kendi kodlarını kodlayıp (Overwriting) dosyayı ele geçiren ML arşiv sızıntıları karşısında yapısal önlem almak zaruridir:

Çıkarma Konumunu İzole Alana Taşıyın: İndirdiğiniz AI model yığınlarını (.tar, .zip vs) hiçbir suretle çalışan projenizin içine ya da kök dosya hattına kurmayın. Dosyanın extract sürecine, şirketin işleyişine uzağında bulunan geçici (/tmp disk alanları gibi) sanal temizlik kapılarında gözcülük edin.
Klasör İzinleri Kısıtları: Docker tabanlı katı dosya yazım sınırlarını ihlalinden çekin. Dosya çıkarma komutlarının genel workspace ortamında bulunan hiçbir /usr/lib, /etc veya venv/lib/python3.X dizininde kendi yetkisiyle bir şeyi ezerek (overwrite) güncelleme hakkı bulamadığından emin olunmalıdır.
Şifreleri Okumadan Analize Sokun: İçe aktarmaya (import) çağrılması işlemi gelene kadar asla beklemeyin. Veriler (Zip meta dosyası blokları) çıkarılmadan dahi önce statik kod checksum analizine alınarak dosya şemasının tehlike arz etmediği saptanmalıdır.

İyileştirme (Remediation)

Eresus Sentinel siber panelinde tetiklenen bir PAIT-EXDIR-102 ikazı siber güvenlik sınırınızda ortam kütüphanesi hırsızlığına teşebbüs olduğunu anlatır. Derhal sunucuyu durdurarak pod hatlarını dondurun. Mevcut zafiyet Python'daki kodların ezilmesini sağladığı için dosya kirlenmiş ve güvenilmez ilan edilmelidir (Asla düzeltilemez). Çalışılan ortam diskini baştan (fresh clone formatında) onarın. Yeniden CI/CD indirmeleri yapılandırılarak tehlikeli ML pakedinin repolar listesinde erişilmesine imkân sunmayın. Tarayıcı önbelleklerinde sert bloklar dizin.

İleri Okumalar ve Kaynaklar (Further Reading)

Güvenlik bağımlılığı tahrifleri ve Extraction tehditleri üzerine vizyonunuzu geliştiren global okumalar:

MITRE ATT&CK: Ortak Nesneleri Çalma ve Linker Mantığıyla İstismar (T1574.006): Saldırganların DLL (Shared object) mekanizmasını kendi lehine işlettiği tahrifat siber stratejileri metni.
OWASP: Dosya Çekip Ortam Sömürmede İleri Seviye (Path Extrapolation): Kök yazılımların yetkilerinden güç kazanıp, ana kütüphaneyi baskılayarak komut yürüten zehir araştırmaları belgesi.
OWASP Path Traversal Rehberi: Modern CI/CD kod çıkartmalarında dış bağımlılıkların zararlıları kök yapıya çekmesine karşın yerel çözüm formülleri belgesi.

📥 Eresus Sentinel MLOps Ortamlarınızı Yıkıcı Zafiyetlerden Baştan İzole Eder! Zehirlenmiş tek bir ML model paketi bütün şirket Python yapılarınızı teslim almamalıdır. Eresus Sentinel, karmaşık .zip ve .tar paketlerini RAM'de inceler. Cihaz kütüphanelerinizi rehin almayı amaçlayan sahte .so eklentileri (Overwrite attempts), henüz klasörlere inmeden paramparça edilir; düşmancıl RCE (Rastgele kod komutu) faaliyetleri o an kesilir. MLOps sürecinizi bugün Eresus kusursuzluğuyla destekleyin.

Daha Fazla Bilgi | Demo Randevusu Alın

SSS

Bu risk sadece prompt injection ile mi sınırlı?

Hayır. AI güvenliğinde prompt injection önemli bir başlangıçtır ama tek başına resmi anlatmaz. Retrieval katmanı, tool izinleri, model artefact güveni, loglarda hassas veri, kullanıcı yetkisi ve entegrasyon sınırları birlikte değerlendirilmelidir.

İlk teknik kontrol ne olmalı?

Önce sistemin hangi veriye eriştiği, hangi aksiyonları alabildiği ve bu aksiyonların hangi kimlikle çalıştığı haritalanmalıdır. Bu harita olmadan yapılan test genellikle birkaç prompt denemesinden öteye geçemez.

Ne zaman profesyonel destek gerekir?

AI uygulaması müşteri verisine, iç dokümana, üretim API’lerine veya otomatik aksiyon alan agent akışlarına erişiyorsa profesyonel güvenlik incelemesi gerekir. Bu noktada risk artık model cevabı değil, kurum içi yetki ve veri sınırıdır.

Uygulama Notları

AI güvenliği incelenirken ilk soru modelin ne cevap verdiği değil, sistemin hangi yetkiyle ne yapabildiğidir. Aynı prompt güvenli görünebilir; fakat arka tarafta CRM, dosya deposu, ticket sistemi veya SQL aracı bağlıysa risk seviyesi tamamen değişir.

Pratik değerlendirme için ekip şu dört katmanı ayrı ayrı yazmalıdır:

Kullanıcıdan gelen giriş ve sistem prompt sınırları.
Retrieval kaynağı, index yetkisi ve hassas veri filtresi.
Tool çağrıları, API token kapsamı ve onay mekanizması.
Log, izleme, alert ve olay müdahale akışı.

Karar Çerçevesi

AI uygulaması yalnızca metin önerisi veriyorsa risk daha çok veri sızıntısı ve yanlış yönlendirme üzerinden okunur. Uygulama tool çağırıyor, dosya yazıyor, ticket açıyor, ödeme başlatıyor veya müşteri kaydı güncelliyorsa değerlendirme agent runtime güvenliğine döner.

Bu ayrım önemlidir çünkü prompt filtreleri runtime yetki hatasını çözmez. Filtre modeli ikna etmeye çalışır; güvenli runtime ise agent yanlış ikna edilse bile neye erişemeyeceğini belirler.

Profesyonel Destek Eşiği

Aşağıdaki durumlardan biri varsa konu artık yalnızca iç kontrol maddesi değildir:

Production verisi veya müşteri hesabı etkilenebilir.
Yetki sınırı birden fazla rol ya da tenant üzerinden çalışır.
Bulgu zincirlenince veri sızıntısı, kalıcı erişim veya operasyon kesintisi doğurabilir.
Ekipte test kanıtını yeniden üretecek ve remediation önceliği çıkaracak zaman yoktur.

Eresus Security bu noktada bulguyu sadece raporlamakla kalmaz; istismar kanıtı, etki analizi, remediation sırası ve retest kriteriyle birlikte ele alır. Böylece ekip “ne açık?” sorusundan “neyi, hangi sırayla kapatmalıyız?” kararına geçer.

Ek Kontrol Soruları

Bu risk hangi varlıkları etkiliyor?
Hangi kullanıcı rolleri bu akışa erişebiliyor?
Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
Bulgunun müşteri verisine etkisi var mı?
Loglardan olayın izi sürülebiliyor mu?
Düzeltme sonrası retest nasıl yapılacak?
Geçici önlem ile kalıcı çözüm ayrıldı mı?
İş etkisi teknik ekibin dışında da anlaşılır mı?
Benzer hata için önleyici kontrol eklenebilir mi?
Ekip bu kontrolü release sürecine bağlayabilir mi?
Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?