>

Securtr

$title =

CVE-2026-5752: Cohere Terrarium’da Kök Yetkili Konteyner Kaçışı

;

$içerik = [

Bir yapay zeka şirketinin “güvenli” diye sunduğu Python korumalı alanı (sandbox), kök (root) yetkisiyle rastgele kod çalıştırmaya ve ardından konteynerin tamamen dışına çıkmaya izin veriyorsa, o kurumun bütün AI altyapısı tek bir JavaScript satırıyla yanabilir. Cohere’ın açık kaynak Terrarium projesinde kamuoyuyla paylaşılan CVE-2026-5752, tam da bunu mümkün kılıyor: CVSS 9.3 taban puanı, kök ayrıcalıklı uzaktan kod çalıştırma (Remote Code Execution — RCE) ve konteyner kaçışı (container escape) bir arada. Peki Terrarium’u kendi ortamınızda kullanan ya da Cohere API’si üzerine ajan kurmuş olan ekipler şu an nerede duruyor?

🔍 Terrarium Nedir ve Ne İşe Yarar?

Terrarium, Cohere tarafından geliştirilen Python tabanlı açık kaynak bir korumalı alan çalışma ortamıdır. Büyük dil modellerinin (LLM) ürettiği kodu veya kullanıcıdan gelen Python parçacıklarını izole bir ortamda çalıştırmak için tasarlanmıştır. Özünde şunu vaat eder: “Bu kod parçası ne kadar kötü niyetli olursa olsun, dışarıyı etkileyemez.”

Bu tür korumalı alanlar özellikle şu senaryolarda kullanılır:

  • LLM destekli kod asistanlarının çıktısını canlı test etmek
  • Çok aşamalı yapay zeka ajanlarının araç çağrılarını (tool call) yürütmek
  • Kullanıcı tarafından girilen Python kodunu bulut ortamında güvenli koşturmak
  • Veri bilimi platformlarında dinamik betik çalıştırma

Sorun şu: “güvenli izolasyon” iddiası, JavaScript prototip zinciri geçişi (prototype chain traversal) tekniğiyle yerle bir edilebiliyor.

⚠️ Açık Nasıl Çalışıyor: Prototip Zinciri ile Sandbox Kaçışı

CVE-2026-5752’nin teknik özü ilginç bir yerde yatıyor: Python sandbox’ının içine JavaScript motorundan sızan bir yüzey. Terrarium’un mimarisinde Python çalışma ortamını sınırlandırmak için belirli kısıtlamalar uygulanıyor; ancak bu kısıtlamaların bir bölümü JavaScript tarafındaki bir köprü (bridge) katmanı üzerinden geçiyor.

JavaScript’te prototip zinciri geçişi, bir nesnenin __proto__ ya da constructor.prototype özelliklerine manipüle edilerek üst nesnelerin sahip olduğu ayrıcalıklı metotlara erişilmesi anlamına gelir. Burada saldırgan şu adımları izliyor:

  • 1. Adım: Sandbox’a JavaScript nesnesi olarak özel hazırlanmış bir girdi gönderilir.
  • 2. Adım: Prototip zinciri üzerinden, ana sürecin (host process) sahip olduğu kısıtlanmamış bir fonksiyona referans elde edilir.
  • 3. Adım: Bu referans üzerinden kök yetkisiyle rastgele sistem komutu çalıştırılır.
  • 4. Adım: Konteyner sınırları aşılarak ana makine (host) üzerinde kalıcılık sağlanır.

Bu saldırı zincirinin en kritik halkası şu: Saldırganın önceden sisteme yetkili erişimi olmasına gerek yok. Sandbox’a meşru görünen bir girdi göndermek yeterli. AI ajanı ortamlarında bu girdi doğrudan bir kullanıcı mesajı veya bir araç çağrısı çıktısı olabilir — yani saldırı yüzeyi inanılmaz derecede geniş.

🏢 Kimin İçin Ne Kadar Kritik?

Şimdi gelelim Türk kurumlar açısından “bu beni etkiler mi?” sorusuna. Terrarium’u doğrudan kullananlar dışında, riski doğrudan veya dolaylı taşıyan üç farklı profil var:

Profil 1 — Cohere API üzerine inşa edilmiş ajan altyapısı: Cohere’ın Command R+ veya diğer modellerini API üzerinden kullanan ve kod çalıştırma özelliğini etkinleştiren herhangi bir kurumsal entegrasyon, bu açığın arka planda nasıl ele alındığını sorgulamalıdır. Cohere’ın sunucu tarafında Terrarium koşuyorsa, maruz kalma (exposure) doğrudan sizin elinizde değil.

Profil 2 — Self-hosted Terrarium kullananlar: Açık kaynak Terrarium’u kendi altyapısında devreye almış olan ekipler için bu, anında yama gerektiren kritik bir zafiyet. CVSS 9.3 puanı tesadüf değil.

Profil 3 — LLM tabanlı kod çalıştırma için başka sandbox çözümü kullananlar: Bu açık bir uyandırma çağrısı niteliğinde. Pyodide, Deno sandbox, E2B veya benzeri izolasyon katmanlarını kullananlar kendi çözümlerinde benzer prototip kirlenmesi (prototype pollution) senaryolarını gözden geçirmeli.

Özellikle vurgulayalım: Konteyner kaçışı boyutu bu açığı sıradan bir RCE’den çıkarıyor. Kubernetes üzerinde çalışan bir AI servisinde bu açık istismar edilirse, tek bir pod’dan tüm node’a, oradan yan yana (lateral movement) hareketle cluster’a yayılmak teknik olarak mümkün hale geliyor. Bunu daha önce Wazuh ile Kubernetes güvenliği yazımızda ele aldığımız tehdit modeli ile birlikte düşünün: izolasyon zinciri bir kez kırıldığında patlama yarıçapı (blast radius) dramatik biçimde büyüyor.

🔧 MITRE ATT&CK Eşleşmesi

Bu zafiyeti MITRE ATT&CK çerçevesine oturttuğumuzda şu tekniklerle örtüştüğünü görüyoruz:

  • T1059.006 — Command and Scripting Interpreter: Python: Sandbox üzerinden Python yürütme ortamının kötüye kullanımı.
  • T1611 — Escape to Host: Konteyner izolasyonunun aşılarak ana makineye erişim — bu açığın en tehlikeli boyutu.
  • T1068 — Exploitation for Privilege Escalation: Kök yetkisi elde etme zinciri.
  • T1190 — Exploit Public-Facing Application: Dışarıya açık AI servis uç noktaları (endpoint) üzerinden giriş vektörü.

T1611’in (Konteyneri Kaçış) burada öne çıkması özellikle önemli: Bu teknik, kurumların genellikle konteyner güvenliğini “yeterince iyi” saydığı ama runtime izolasyonunu test etmediği bir kör noktayı temsil ediyor. Daha önce SGLang CVE-2026-5760 analizinde de benzer bir örüntü görmüştük — AI çalışma zamanları (runtime) konteyner güvenliğinin en zayıf halkası olmaya devam ediyor.

🛡️ Wazuh ile Tespit: Sandbox Kaçışını Nasıl Yakalarız?

Terrarium ya da benzeri bir sandbox çözümü koşan ortamlarda Wazuh tarafında yapabileceğiniz en kritik şey, konteyner içi kök süreç başlatma ve beklenmedik sistem çağrılarını izlemek. Aşağıda, konteyner ortamında alışılmadık kök yetkili süreç oluşumunu ve olası konteyner kaçışı belirtilerini yakalayan özel bir Wazuh kuralı bulacaksınız:






  
  
    syscheck
    /proc/\d+/status
    Uid:\s+0\s+0
    Konteyner içinde kök (UID 0) yetkili yeni süreç tespit edildi — sandbox kaçışı olabilir
    
      T1611
      T1068
    
  

  
  
    80700
    /usr/bin/python3|/usr/local/bin/python|node
    execve
    0
    AI sandbox (Python/Node) sürecinden kök yetkili execve çağrısı — CVE-2026-5752 istismarı şüphesi
    pci_dss_10.6.1,gdpr_IV_35.7.d,
    
      T1059.006
      T1611
    
  

  
  
    80700
    /usr/bin/python3|node|terrarium
    /etc/passwd|/etc/shadow|/etc/sudoers
    Sandbox sürecinden hassas sistem dosyasına erişim girişimi tespit edildi
    
      T1003
      T1611
    
  

  
  
    80700
    /var/run/docker.sock|/run/containerd/containerd.sock
    Konteyner içinden Docker/containerd soketine erişim — kritik konteyner kaçış girişimi
    
      T1611

Bu kuralları devreye almak için /var/ossec/etc/rules/ altına kaydedin ve Wazuh manager’ı yeniden başlatın. Linux audit daemon (auditd) entegrasyonunuzun aktif olduğundan emin olun; yoksa 100501–100503 numaralı kurallar tetiklenmez. Wazuh’da özel kural yazma konusunda daha fazla bilgi için adım adım rehberimize göz atabilirsiniz.

Ek olarak, Wazuh FIM (Dosya Bütünlüğü İzleme) ile sandbox konteynerinin kritik dizinlerini izlemeye almanızı öneririm. Özellikle /etc, /usr/bin ve /tmp altındaki beklenmedik değişiklikler erken uyarı sinyali olabilir. FIM yapılandırması için Wazuh FIM rehberimiz iyi bir başlangıç noktası.

✅ Ne Yapmalısınız: 5 Acil Aksiyon

  • 1. Terrarium kullanımını envanterinizde tarayın: Hem doğrudan kurulu olan hem de bağımlılık (dependency) olarak gelen Terrarium sürümlerini belirleyin. pip show terrarium ve bağımlılık ağacı taraması (örneğin pip-audit veya trivy ile konteyner imajı taraması) çalıştırın.
  • 2. Cohere’ın resmi yamasını uygulayın: CVE-2026-5752 için Cohere’ın yayımladığı güvenlik güncellemesini hemen devreye alın. Self-hosted kurulumlar için gecikme kabul edilemez — CVSS 9.3 puanlı bir zafiyette “yakında yaparız” geçerli değil.
  • 3. Sandbox konteynerlerini en az ayrıcalık ilkesiyle yeniden yapılandırın: Terrarium veya benzeri AI çalışma zamanlarını --read-only, --no-new-privileges ve kısıtlı seccomp profiliyle çalıştırın. Kök yetkisiyle çalışan konteyner kabul edilemez bir varsayılan.
  • 4. Ağ segmentasyonunu gözden geçirin: AI sandbox konteynerlerinin iç ağa, veri tabanlarına veya diğer servislere doğrudan erişimi olmamalı. Konteyner kaçışı gerçekleşse bile yanal hareketin önü kesilmeli.
  • 5. Cohere API entegrasyonlarında kod çalıştırma özelliğini geçici olarak devre dışı bırakın: Self-hosted değil de API üzerinden Cohere kullananlar, Cohere’ın sunucu tarafındaki durumu netleşene kadar kod yürütme (code execution) aracını agent pipeline’larından çıkarmayı değerlendirmeli.

Sonuç: AI Sandbox Güvenliği Artık Zorunlu Bir Disiplin

CVE-2026-5752 bize çok net bir mesaj veriyor: LLM ekosistemindeki “güvenli izolasyon” iddialarını artık körü körüne kabul etmemeliyiz. Terrarium özelinde bu açık, bir JavaScript prototip zinciri manipülasyonunun Python sandbox’ını nasıl çökertebileceğini gösteriyor — ve bu, derin bir mimari güven sorununa işaret ediyor.

Kurumsal AI benimsemesi hız kazandıkça, saldırı yüzeyi de o hızla büyüyor. Cohere Terrarium bugün, başka bir sandbox yarın. Biz güvenlik ekipleri olarak yapay zeka altyapısını geleneksel uygulama güvenliği ile aynı titizlikte ele almak zorundayız: zafiyet taraması, en az ayrıcalık, ağ segmentasyonu ve sürekli izleme. Bunlar artık isteğe bağlı değil. Daha önce ChatGPT Enterprise güvenlik riskleri ve ajan API saldırı yüzeyleri yazılarında da vurguladığımız bu tablo giderek daha da netleşiyor.

📊 Kurumunuzda AI runtime güvenliğine ilişkin bir olgunluk değerlendirmesi yapmak istiyorsanız, Wazuh ile izleme katmanını kurmak iyi bir başlangıç — ama tek başına yeterli değil. Tehdit modelleme ve mimari gözden geçirme olmadan izleme körü körüne yapılan bir egzersiz olur.

Orijinal kaynak: https://thehackernews.com/2026/04/cohere-ai-terrarium-sandbox-flaw.html

📚 İlgili Yazılar

];

$tarih =

;

$category =

,

;

$previous =

;

$next =

;

Bir Cevap Yazın

Securtr sitesinden daha fazla şey keşfedin

Okumaya devam etmek ve tüm arşive erişim kazanmak için hemen abone olun.

Okumaya Devam Edin