Black Hat USA 2024’teki kusurları açıklayan Kudelski Security’nin güvenlik araştırmacılarına göre, GitHub’ın en popüler AI destekli kod inceleme araçlarından biri olan CoderABbit’teki kritik bir uzaktan kod yürütme güvenlik açığı, saldırganların özel olanlar da dahil olmak üzere bir milyondan fazla kod deposuna okuma ve yazmalarına izin verebilir.
Güvenlik kusuru, saldırganların CoDerAbbit’in üretim sunucularında uzaktan kod yürütülmesini, sızıntı API jetonlarını ve sırlarını elde etmelerini, şirketin PostgreSQL veritabanına potansiyel olarak erişmesini ve hem kamu hem de özel kod depolarına yetkisiz erişim elde etmesini sağladı.
CODERABBIT, önemli bir pazar penetrasyonuna sahip AI-destekli bir kod inceleme platformu olarak hizmet vermektedir, incelenmekte olan bir milyondan fazla depo ve analiz edilen beş milyon çekme talebi.
CODERABBIT, GitHub Marketplace’de en çok kurulu AI destekli uygulama olma ayrımını tutar ve tüm kategorilerdeki en iyi kurulumlar arasında yer alır.
Platform, çekme isteklerindeki kod değişikliklerini otomatik olarak analiz eder ve AI tarafından oluşturulan incelemeler sağlar, bu da PRS’yi özetlemek, güvenlik sorunlarını belirlemek ve kod iyileştirmeleri önermek için değerli bir geliştirici üretkenlik aracı haline getirir.
Teknik sömürü detayları
Güvenlik açığı, CODERABBIT’in dış statik analiz araçlarıyla entegrasyonunu kullandı, özellikle bir yakut statik analizör olan Rubocop’u hedef aldı.
Araştırmacılar, CODERABBIT’in bu araçları otomatik olarak ilgili dosya türlerini içeren çekme isteklerinde yürüteceğini keşfettiler ve Rubocop, depoda bir .rubocop.yml yapılandırma dosyası bulunduğunda Ruby dosyalarında çalışacak şekilde yapılandırıldı.
Saldırı vektörü, Rubocop’a kötü niyetli bir yakut uzatma dosyası yüklemesi talimatını veren hazırlanmış bir .rubocop.yml dosyası içeren kötü amaçlı bir çekme isteği oluşturmayı içeriyordu.
Bu uzantı dosyası, hassas API jetonları ve saldırgan kontrolündeki sunuculara sırlar içeren ortam değişkenlerini eksifrat etme komutları dahil olmak üzere keyfi kod yürütebilir.
Sömürü süreci minimum çaba gerektirir: sadece koderabbit erişimi elde etmek, kötü amaçlı yapılandırma dosyalarıyla bir depo oluşturmak ve otomatik kod inceleme sürecinin yüklerini yürütmesini beklemek için gerekli saldırganlar.
CoderAbbit, Ocak 2025’te güvenlik açığı açıklamasından sonra örnek olay tepkisi gösterdi.
Bildirimden sonraki saatler içinde, şirket Rubocop işlevselliğini devre dışı bıraktı, potansiyel olarak tehlikeye atılan tüm kimlik bilgilerini ve sırları döndürdü ve Rubocop işlemlerini güvenli sanal alan ortamına taşıyan kalıcı bir düzeltme kullandı.
Şirket kapsamlı bir güvenlik denetimi gerçekleştirdi, otomatik sanal alan uygulama mekanizmaları uyguladı ve benzer güvenlik açıklarını önlemek için sertleştirilmiş dağıtım kapıları kurdu.
CODERABBIT, güvenlik uygulamalarında şeffaflık göstererek yanıt ve iyileştirme çabalarını kamuya açıkladı.
Bu olay, birden fazla harici sistemle entegre olan AI destekli geliştirme araçlarının doğasında bulunan güvenlik zorluklarını vurgulamaktadır.
Güvenlik açığı, üçüncü taraf aracı yürütmenin kum havuzunun önemini vurgulamak ve hassas depo verilerini işleyen otomatik kod analiz platformları etrafında sağlam güvenlik kontrollerinin uygulanmasının önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!