Siber güvenlik araştırmacıları, silinmiş ve özel depo verilerine erişime izin veren bir GitHub tasarım kusurunu ortaya çıkardı. Cross Fork Object Reference (CFOR) olarak adlandırılan sorunun hassas bilgileri nasıl riske attığını ve açık kaynak güvenliği için ne anlama geldiğini öğrenin.
Açık kaynaklı güvenlik yazılımları üreten Truffle Security şirketinin siber güvenlik araştırmacıları, GitHub’da bulunan silinmiş ve özel veri havuzlarına herkesin erişebildiğini ve bu verilerin sonsuza kadar erişilebilir olduğunu tespit etti.
Cross Fork Object Reference (CFOR) olarak bilinen bu sorun, kullanıcıların özel ve silinmiş çatallardaki veriler de dahil olmak üzere başka bir çataldaki kayıt verilerine doğrudan erişmesine olanak tanır.
Truffle Security’ye göre bu bir hata değil, GitHub’ın depo mimarisinin kasıtlı bir tasarım özelliğidir. Bu, orijinal depo silinse bile, genel bir depoya gönderilen herhangi bir kodun, o deponun en azından bir çatalı olduğu sürece sonsuza kadar erişilebilir olabileceği anlamına gelir.
Araştırmacılar bu sorunun istismar edilebileceği üç senaryoyu ortaya koydu:
- Silinen Fork Verilerine Erişim: Bir kullanıcı genel bir depoyu çatallandırdığında, ona kod eklediğinde ve ardından çatalı sildiğinde, eklenen kod sonsuza dek erişilebilir kalır. Bunun nedeni GitHub’ın depoları ve çatalları bir depo ağında depolaması ve bir çatalı silmenin eklenen verileri silmemesidir.
- Silinen Depo Verilerine Erişim: Genel bir depo silindiğinde, GitHub kök düğüm rolünü alt akış çatallarından birine yeniden atar. Bu, orijinal depodaki tüm commit’lerin hala var olduğu ve çatal orijinal depoyla asla senkronize olmasa bile herhangi bir çatal aracılığıyla erişilebilir olduğu anlamına gelir.
- Özel Depo Verilerine Erişim: Özel bir depo açık kaynaklı olduğunda, dahili çatallanmanın oluşturulduğu zamandan deponun halka açık hale getirildiği zamana kadar işlenen tüm kodlar halka açık depoda erişilebilirdir. Bunun nedeni, özel çatallanmanın ve halka açık deponun aynı depo ağının parçası olmasıdır.
Verilere erişmek için bir saldırganın yalnızca commit hash değerini bilmesi gerekir https://github.com/GitHub’ın kullanıcı arayüzü üzerinden kaba kuvvetle saldırıya uğrayabilir veya genel olaylar API uç noktası aracılığıyla elde edilebilir. Bu, gizli verilerin ve sırların bir kuruluşun genel GitHub depolarında yanlışlıkla ifşa edilebileceği anlamına gelir.
Truffle Security gönderildi onların raporu GitHub’a Güvenlik Açığı Açıklama Programı aracılığıyla ve GitHub, mimarisinin bu şekilde çalışmak üzere tasarlandığını söyledi. GitHub mimarisi hakkında şeffaf olsa da, ortalama kullanıcı bu tasarımın etkilerini anlamayabilir ve silme eylemi, verilerin silindiği anlamına gelmez.
Truffle Security, kullanıcıların anahtar rotasyonu yoluyla genel GitHub depolarındaki sızdırılmış anahtarları güvenli bir şekilde düzeltmek için adımlar atmalarını öneriyor. Ayrıca, gizli tarama araçlarının bu senaryoları ele almak için güncellenmesi gerekeceğini ve kullanıcıların silinen verilere hala erişilebileceğinin farkında olması gerektiğini belirtiyorlar.
Bu sorun yalnızca GitHub’a özgü değildir ve diğer sürüm kontrol sistemi ürünleri de etkilenebilir. Açık kaynaklı yazılımların kullanımı artmaya devam ettikçe, kullanıcılar bu sistemlerin nasıl çalıştığına ilişkin güvenlik etkilerini anlamalıdır.
İLGİLİ KONULAR
- Uyarı: Sahte GitHub Depoları Kötü Amaçlı Yazılımları PoC Olarak Sunuyor
- GitHub Yorumları Kötü Amaçlı Yazılımı Sahte Microsoft Depolarında Yayıyor
- Shadow IT: Kişisel GitHub Depoları Çalışan Bulutunu Açığa Çıkarıyor Sırlar