Trend Micro araştırmacıları yakın zamanda, kötü amaçlı yazılımların ve kötü amaçlı komut dosyalarının, bağlantı noktası iletme işlevi kullanılarak kötü niyetli aktörler tarafından GitHub Codespaces içinde barındırılabileceğini ve dağıtılabileceğini gösterdi.
GitHub Codespaces, geliştiricilerin hızlı bir şekilde bir çalışma alanı oluşturmasına ve kurulum, yapılandırma ve bağımlılıklar konusunda endişelenmek zorunda kalmadan bir web tarayıcısında dakikalar içinde doğrudan kodlamaya başlamasına olanak tanır.
Bu, bir projeye başlamayı çok daha kolay ve hızlı hale getirir ve ayrıca geliştiricilerin farklı geliştirme ortamları arasında geçiş yapma ihtiyacını azaltır.
GitHub Kod Alanlarında Barındırılan Kötü Amaçlı Yazılım Sunucusu
GitHub Codespaces, geliştiricilere kolayca erişilebilen ve hızla yapılandırılabilen bulutta barındırılan geliştirme ortamları sağlar.
Bu, onları kötü amaçlı web sunucularını hızlı bir şekilde kurmak için kullanabilen kötü amaçlı aktörler için çekici bir hedef haline getirir; bu sunucular, tespit edilmeden kötü amaçlı yazılımları veya diğer kötü amaçlı içerikleri dağıtmak için kullanılabilir.
Bu senaryoda, araştırmacılar bir Codespace’i bir web sunucusu gibi davranacak şekilde yapılandırarak, bir saldırganın onu potansiyel olarak kötü amaçlı dosyalar veya trafik geliyor gibi görüneceği için güvenlik sistemlerinin algılaması zor olan bağlantılar sunmak için kullanabileceğini göstermiştir. yasal bir kaynaktan.
GitHub Codespaces, geliştiricilerin doğrudan GitHub platformundan bulutta geliştirme ortamları oluşturmasına ve yönetmesine olanak tanır. Codespaces’in temel özelliklerinden biri, geliştiricilerin TCP bağlantı noktalarını genel internete iletme yeteneğidir.
Bu, geliştiricilerin Codespace’te çalışan uygulamalarını, Codespace’ten genel internete belirli bir bağlantı noktasını ileterek harici kullanıcıların kullanımına sunabilecekleri anlamına gelir.
Bu, kodu test etmek için bir ortam oluşturmak ve uygulamaları başkaları tarafından erişilebilir kılmak için kullanışlıdır. Bağlantı noktasını özel olarak yapılandırarak, URL belirli kişilerle paylaşılabilirken, genel bağlantı noktalarına URL’ye sahip olan herkes erişebilir.
Özel ve genel bağlantı noktası iletimi arasındaki temel fark, kimlik doğrulama gereksinimi tarafından sağlanan güvenliktir. Özel bir bağlantı noktası iletme, yalnızca belirteç veya tanımlama bilgilerine sahip olanlarla erişimi sınırladığından çok daha güvenlidir, genel bir bağlantı noktası iletme ise URL’yi bilen herkese açıktır.
Aşağıdakiler, bir saldırganın teoride gerçekleştirebileceği olası eylemlerdir:-
- Basit bir Python web sunucusu çalıştırın
- Kötü amaçlı komut dosyalarını veya kötü amaçlı yazılımları Codespace’lerine yükleyin
- Sanal makinelerinde bir web sunucusu bağlantı noktası açın
- Ona “genel” görünürlük atayın
Geliştiriciler, Codespaces port yönlendirme sistemini varsayılan olarak HTTP yerine HTTPS olarak ayarlama seçeneğine sahiptir. Bu, URL’nin bilgisayar korsanlarına karşı güvenli olduğu yanılsamasını yaratacaktır.
GitHub’ın güvenli doğası, GitHub güvenilir bir alan olduğundan antivirüs araçlarının alarm verme olasılığı daha düşük olduğundan, tehdit aktörlerinin tespitten minimum maliyetle kurtulmasına olanak tanır.
Saldırının Yoğunluğunu Artırmak
Trend Micro analistlerinin GitHub Codespaces içindeki Dev Container’ları kötüye kullanarak kötü amaçlı yazılım dağıtım operasyonlarını geliştirmeleri de mümkündür.
Bu araç, hızlı dağıtım, başkalarıyla paylaşma ve bir VCS sistemine bağlanma için geliştiriciler tarafından kullanılabilir. Bir saldırganın komut dosyası kullanarak yapabileceği, aşağıdakiler de dahil olmak üzere birçok şey vardır:-
- Bir bağlantı noktasını ilet
- Bir Python HTTP sunucusu çalıştırın
- Kötü amaçlı dosyaları Codespace’lerine indirin
Artık, bağlantı noktasının görünürlüğü genel olarak ayarlandığında, kötü amaçlı dosyalar içeren açık bir dizine sahip bir web sunucusu oluşturulur.
GitHub’ın politikası etkin olmayan kod alanlarını 30 gün sonra otomatik olarak silmek olduğundan, bir saldırgan aynı URL’yi bir ay boyunca kullanabilir. Ancak, güvenlik açıkları raporlarına yanıt olarak GitHub bunları araştırmayı taahhüt eder.
Şirket bu raporun farkındadır ve bir kod alanına bağlanırken kullanıcılara, sahibine güvendiklerini doğrulamalarını isteyen bir bilgi istemi eklemeyi planlamaktadır.
öneriler
Aşağıda, gelecekteki tehditlerin bu platformu kötüye kullanmasını önlemek için BT ve güvenlik ekiplerinin uygulayabileceği bazı en iyi güvenlik uygulamalarından bahsetmiştik:-
- Mümkün olduğunda, VSCode uzantıları ve GitHub depoları gibi uzantılar gibi güvenilir kod kaynakları kullanın.
- Geliştiricilerin güvenilmeyen kodlarla düzgün çalışabilmeleri için üzerinde çalıştıkları deponun farkında olmaları ve bunu yaparken dikkatli olmaları gerekir.
- Devcontainer yapılandırması, gereksinimlere göre tanınması ve sürdürülmesi gereken kapsayıcı görüntülerin kullanımına dayanır.
- GitHub için her zaman benzersiz ve güçlü parolalar kullanmalısınız.
- Hesabınıza iki faktörlü kimlik doğrulama eklemek, güvenliğini artırmanın harika bir yoludur.
- Kimlik bilgilerinin sızmasını önlemek için, sırları ve kimlik bilgilerini alenen işlemekten kaçınmak gerekir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin