Bilgisayar Korsanları, Kötü Amaçlı Yazılım Dağıtmak İçin Meşru GitHub Codespaces Özelliğini Kötüye Kullanabilir


17 Ocak 2023Ravie LakshmananTehdit Müdahalesi / Kötü Amaçlı Yazılım

GitHub Kod Alanları

Yeni araştırma, tehdit aktörlerinin GitHub Codespaces’teki yasal bir özelliği kötüye kullanarak kurban sistemlerine kötü amaçlı yazılım dağıtmasının mümkün olduğunu buldu.

GitHub Codespaces, kullanıcıların bir web tarayıcısından veya Visual Studio Code’daki bir entegrasyon yoluyla belirli bir kod tabanındaki değişiklikleri hata ayıklamasına, sürdürmesine ve taahhüt etmesine olanak tanıyan, bulut tabanlı, yapılandırılabilir bir geliştirme ortamıdır.

Ayrıca, test etme ve hata ayıklama amacıyla doğrudan yerel bir makinedeki tarayıcıdan kod alanı içindeki belirli bir bağlantı noktasında çalışan bir web uygulamasına erişmeyi mümkün kılan bir bağlantı noktası iletme özelliği ile birlikte gelir.

GitHub belgelerinde “Ayrıca bir bağlantı noktasını manuel olarak iletebilir, iletilen bağlantı noktalarını etiketleyebilir, iletilen bağlantı noktalarını kuruluşunuzun üyeleriyle paylaşabilir, iletilen bağlantı noktalarını herkese açık olarak paylaşabilir ve iletilen bağlantı noktalarını kod alanı yapılandırmasına ekleyebilirsiniz.”

Burada, halka açık hale getirilen herhangi bir yönlendirilen bağlantı noktasının, URL ve bağlantı noktası numarası hakkında bilgi sahibi olan herhangi bir tarafın çalışan uygulamayı herhangi bir kimlik doğrulaması olmadan görüntülemesine izin vereceğini not etmek önemlidir.

GitHub Kod Alanları

GitHub Codespaces, port yönlendirme için HTTP kullanır. Herkes tarafından görülebilen bağlantı noktasının HTTPS kullanacak şekilde güncellenmesi veya kaldırılıp yeniden eklenmesi durumunda, bağlantı noktasının görünürlüğü otomatik olarak özel olarak değiştirilir.

Siber güvenlik firması Trend Micro, bu tür genel olarak paylaşılan iletilen bağlantı noktalarının, bir GitHub hesabı kullanarak kötü amaçlı bir dosya sunucusu oluşturmak için kullanılabileceğini keşfetti.

Araştırmacılar, “Bu süreçte, kötüye kullanılan bu ortamlar, kötü amaçlı içerik sunsa bile (komut dosyaları, kötü amaçlı yazılım ve fidye yazılımı gibi) kötü amaçlı veya şüpheli olarak işaretlenmeyecek ve kuruluşlar bu olayları iyi huylu veya yanlış pozitif olarak değerlendirebilir.” Nitesh Surana ve Magno Logan dedi.

Trend Micro tarafından gösterilen bir kavram kanıtı (PoC) istismarında, bir tehdit aktörü bir kod alanı oluşturabilir ve saldırganın kontrolündeki bir alandan ortama kötü amaçlı yazılım indirebilir ve iletilen bağlantı noktasının görünürlüğünü genele ayarlayarak, temelde hileli yükleri barındıran bir web sunucusu olarak hareket eden uygulama.

GitHub Kod Alanları

Daha da rahatsız edici bir şekilde, açığa çıkan bağlantı noktasıyla ilişkili her bir kod alanı alanı benzersiz olduğundan ve güvenlik araçları tarafından kötü amaçlı bir etki alanı olarak işaretlenme olasılığı düşük olduğundan, saldırgan kötü amaçlı yazılım dağıtmak ve bir kurbanın ortamını tehlikeye atmak için bu yöntemi artırabilir.

Araştırmacılar, “Bu tür komut dosyalarını kullanan saldırganlar, kod alanı ortamlarında bağlantı noktalarını herkese açık bir şekilde ifşa ederek GitHub Codespaces’i hızlı bir oranda kötü amaçlı içerik sunarak kolayca kötüye kullanabilir.”

Teknik henüz vahşi ortamda gözlemlenmemiş olsa da, bulgular, tehdit aktörlerinin bulut platformlarını kendi çıkarları için nasıl silahlandırabileceklerini ve bir dizi yasa dışı faaliyet yürütebileceklerini hatırlatıyor.

Araştırmacılar, “Bulut hizmetleri, meşru kullanıcılara ve benzer şekilde saldırganlara avantajlar sunuyor” dedi. “Meşru abonelere sunulan özellikler, aynı zamanda tehdit aktörleri tarafından sağlanan kaynaklardan yararlandıkça kullanılabilir hale gelir. [cloud service provider].”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link