Sofistike ve artan bir siber saldırı dalgası artık az bilinen ama meşru bir GitHub özelliği ile yazılım geliştiricilerini hedefliyor: OAuth 2.0 cihaz kodu akışı.
Özellikle Praetorian’tan gelen güvenlik uzmanları, tehdit aktörlerinin geliştiricileri en hassas kod depolarına ve CI/CD boru hatlarına teslim etmek için bu mekanizmayı kandırmak için bu mekanizmayı kullandıkları konusunda uyardı.
Saldırılar, fikri mülkiyet için önemli bir risk oluşturmaktadır ve büyük ölçekli tedarik zinciri saldırılarını kolaylaştırabilir.
.png
)
Saldırı Metodolojisi: Cihaz Kodlarından Rogue Tokenlere
Saldırının merkezinde, kullanıcıların akıllı TV’ler veya IoT cihazları gibi sınırlı girişli cihazlarda oturum açmasına yardımcı olmak için tasarlanmış GitHub’ın cihaz kodu kimlik doğrulaması bulunmaktadır.
İşlem basittir: Bir cihaz GitHub’ın OAuth hizmetinden kısa ömürlü bir kod ve doğrulama URL’si ister. T
Kullanıcı, cihazı doğrulamak için bir tarayıcıda kodu girer, bu da onların adına bir erişim belirteci alır.
Bu akış meşru ve gereklidir, ancak en önemlisi, kodu oluşturan kişinin bunu doğrulamak için aynı kişi olduğunu garanti etmez.
Saldırganlar bu güvenlik açığından yararlanmanın yollarını buldular. Saldırı genellikle nasıl ortaya çıkıyor:
- 1. Adım: Kod üretimi
Saldırgan, kullanıcı, depo ve iş akışı erişimi gibi güçlü izinlerle kapsamlı bir cihaz kodu istemek için GitHub’ın OAuth API’sini kullanır. - 2. Adım: Sosyal Mühendislik
Cihaz kodunu ve doğrulama URL’sini hedefe (genellikle telefon, e -posta veya SMS yoluyla), ya da destek personeline veya destek personeline sunarlar. - 3. Adım: Kullanıcı Kimlik Doğrulaması
Talebin meşru olduğuna inanan kurban, doğrulama URL’sini ziyaret eder ve kodu girer ve esasen saldırganın cihazına kendi adına hareket etme yetkisi verir. - 4. Adım: Token Alma
Saldırgan, OAuth jetonunu alır ve kurbanın github kaynaklarına uzun vadeli, yüksek erişim sağlar. - Adım 5: Sömürü
Jeton ile saldırgan özel kodu dışarı atabilir, CI/CD iş akışlarını manipüle edebilir, sırları erişebilir ve hatta geri kapı depolarını geri kapılarak tedarik zinciri saldırılarını başlatabilir.
Son vaka çalışmaları son derece etkili kampanyaları vurgulamaktadır.
Bir örnekte, saldırganlar bir kuruluşun GitHub Enterprise’a proxy cihaz kodu isteklerine tehlikeye atılmış dahili erişim kullandı, daha sonra geliştiricileri erişimi yetkilendirmek için kandırmak için telefon tabanlı taklitten yararlandı.
Başka bir varyant olan “Gitphish”, tüm süreci otomatikleştirerek, profesyonel görünümlü GitHub sayfaları sitesi aracılığıyla talep üzerine yeni cihaz kodları oluşturur ve her kurbanın geçerli, canlı bir kod almasını sağlar.
Savunma Stratejileri: Tespit ve Önleme Kritik
Şu anda, GitHub’da cihaz kodu akışını açıkça devre dışı bırakmanın bir yolu yok. Sonuç olarak, teknik kontroller ve uyanık izleme kritiktir:
- Denetim Günlüğü Farkındalığı:
GitHub’ın yetkisiz OAuth yetkileri için denetim günlüklerini izleyin (org_credential_authorization.grant olayları). Şüpheli jeton kapsamlarına ve çoklu hızlı etkinliklere özel dikkat edin. - Ağ İzleme:
Bir kimlik avı kampanyasını gösterebilecek github.com/login/device ziyaretlerinde olağandışı sivri uçları izleyin. - IP İzin Verme:
Github organizasyonuna erişimi bilinen, güvenilir IP adreslerine kısıtlayın, ancak bu dikkatle yönetilmezse CI/CD iş akışlarını kırabilir. - Hibe sonrası davranış:
Esas olarak yeni bir OAuth yetkisinden sonra meydana gelirse, aşırı depo klonlama veya gizli tarama gibi anormal aktiviteye bakın.
Rapora göre, güvenlik uzmanları kuruluşları sağlam algılama ve yanıt oyun kitapları hazırlamaya çağırıyor.
Tehdit aktörleri hızla GitHub Cihaz Kodu Kimlik avı’nı benimseyerek, geliştirici ortamları ve tedarik zincirleri riskleri açıktır.
Modern tehdit manzarası kendi GitHub organizasyonunuzdan gelmesi dışında hiçbir kesinlik sunmadığından, geliştiriciler ve güvenlik ekipleri uyanık kalmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin