GitHub, bilgisayar korsanlarının depolarından birini ele geçirmesine ve muhtemelen tüm yazılımlara ve ona bağlı diğer programlara bulaşmasına izin vermiş olabilecek bir kusuru düzeltti.
13 Haziran’da güvenlik firması Checkmarx’tan araştırmacılar platformla iletişime geçti. GitHub sorunu doğruladı, “yüksek” önem derecesi olarak değerlendirdi ve araştırmacılara bilinmeyen bir hata ödülü verdi. Checkmarx araştırmacıları, makalelerinde, kötü niyetli aktörlerin GitHub’da orijinal, sık kullanılan ad alanlarını “Yeniden Kaçırarak” bundan yararlanabileceği sorununa dikkat çekti.
Kullanıcı adı ve havuz adı, genellikle GitHub’da ad alanını oluşturmak için birleştirilir. Örnek-kullanıcı/örnek-repo bir örnektir. Araştırmacılara göre, “GitHub’ın sağladığı ‘user rename’ seçeneği kullanılarak kullanıcının orijinal adının değiştirilmesi durumunda bir ad alanı Repojacking’e tabidir. “Kullanıcı adınızı değiştirmek kolay ve hızlı bir işlemdir. Eski havuzun URL’sine gelen tüm trafiğin yenisine gönderileceği konusunda önceden bilgilendirilirsiniz.
Kullanıcı adınızı değiştirir değiştirmez, herkes öncekini kullanabilir. Ad alanı, aynı ada sahip bir depo açarak bir saldırgan tarafından ele geçirilebilir.
Sorunu çözmek için GitHub, diğer kullanıcıların bir dizi gereksinimi karşılayan herhangi bir depoyu kullanmasını engelleyen bir özellik geliştirdi. Uzmanlara göre, “bu yaklaşımdaki ek güvenlik açıkları hala mevcut olabilir”, çünkü sorun çözüldükten sonra bile GitHub kullanıcıları emekli ad alanlarını kullanmaktan kaçınmalıdır.
Kusurla ilgili raporlarına göre, platformun sorunu çözmek için sunduğu koruma, firma ile işbirliğine rağmen “dahili metriklere dayalı olarak etkinleştirilir ve kullanıcılara belirli bir ad alanının bu ad tarafından korunup korunmadığına dair hiçbir gösterge sunmaz”. konuyla ilgili.
Araştırmacılara göre bu, farkında olmadan bazı depoları ve paketleri tehlikeye atabilir.
Güvenlik açığının önemi ve yüzlerce programın açık kaynak kitaplıklarına ve kod depolarına dayanması ve bu da onlara yönelik saldırıları potansiyel olarak felakete yol açması gerçeğinin bir sonucu olarak, diğer siber güvenlik uzmanları bu konuda hemfikirdi.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.