Zapier'in Kodundaki Kritik Güvenlik Açığı Ortaya Çıktı: Zenity, #ZAPESCAPE'i Ortaya Çıkardı

no-code ve low-code geliştirme için güvenlik yönetişiminde öncü olan Zenity, Code by Zapier keşfettikleri kritik bir sanal alandan kaçış güvenlik açığını duyurdu. #ZAPESCAPE olarak adlandırılan kusur, saldırganlara bir kuruluşun yürütme ortamı üzerinde tam kontrol sağlayarak, potansiyel olarak sonuçları manipüle etme ve hassas bilgileri çalma erişimi verebilirdi.

Zenity güvenlik araştırma ekibi, güvenlik açığını Mart ZapierZapier bir Zap'ın parçası olarak özel kod yürütmek için kullanılan bir hizmet olan Code by Zapier'de buldu. #ZAPESCAPE'ten yararlanmak, bir kullanıcının bir yöneticinin özel kod yürütme ortamı üzerinde kontrolü ele geçirmesini sağlayabilir. Ayrıca, istismar, bir kullanıcının yöneticiler tarafından erişilemeyen ve tespit edilemeyen özel klasörü aracılığıyla gerçekleştirilebilir.

Zenity Kurucu Ortağı ve CTO'su Michael Bargury , "Ekibimiz tarafından keşfedilen güvenlik açığı, herhangi bir Zapier kullanıcısının tüm kuruluşun ortamı üzerinde tam kontrol sahibi olmasına izin verdi. Bir kullanıcı, yöneticinin zap'larını okuyabilir ve hatta manipüle edebilir ve yönetici, bunu bilmenin hiçbir yolu yok."

Zapier güvenlik ekibi, şimdi tamamen hafifletilmiş olan sorunu ele almakta hızlı davrandı. Bu ifşa, Zapier ekibi ile koordine edilmiştir ve Zenity, güvenlik açığının tamamen giderildiğini onaylamaktadır. Ancak Code by Zapier kullanıcılarının 17 Ağustos 2022'den önceki hesapları istismar edilmiş olabilir.

Bargury, Zapier güvenli bir platform olmasına rağmen hiçbir platformun güvenlik açıklarından muaf olmadığını ekliyor. Bir Zap oluştururken, no-code geliştirme hala geliştirme aşamasında olduğundan ve paylaşılan sorumluluk modeline bağlılık gerektirdiğinden, kullanıcılar platformun üzerinde oluşturduklarını güvence altına alma sorumluluğunu almalıdır.

Kodsuz/ low-code uygulamalar, entegrasyonlar ve otomasyon için ilk ve tek güvenlik yönetim platformu olarak Zenity, temel bir hizmet sunar. AppMaster gibi kodsuz/ low-code platformların yükselişiyle hem profesyonel hem de vatandaş geliştiriciler, kapsamlı kodlama bilgisi olmadan özelleştirilmiş yazılım çözümleri oluşturabilir. Ancak bu kolaylık, yeterince yönetilmez ve yönetilmezse potansiyel güvenlik risklerini de beraberinde getirir.

Zenity BT ve güvenlik profesyonellerinin kodsuz/ low-code varlıkları üzerinde kapsamlı görünürlük ve kontrole sahip olmalarını sağlar. Bu, olası güvenlik açıklarını ortadan kaldırmalarına ve geliştirme için daha güvenli bir yaklaşım benimsemelerine olanak tanır. Platform, tüm kodsuz/ low-code yaşam döngüsü boyunca güvenlik ilkelerini uygulamak için platformlar arası envanter, sürekli risk değerlendirmesi, otomatik düzeltme eylemleri ve yönetişim oyun kitapları gibi özellikler sunar.

Eski Microsoft siber güvenlik liderleri ve uzmanları Ben Kliger ve Michael Bargury tarafından kurulan Zenity, BT merkeziyetsizliği için güvenlik yönetişiminde liderdir. Şirket, Fortune 500 şirketleri de dahil olmak üzere büyük kuruluşlarla çalışıyor ve OWASP İlk 10 Düşük Kodlu/ No-Code Güvenlik Riskleri grubuna liderlik ediyor.