Hesapları yeniden adlandırmak, korsanlığın kapısını açtı
GitHub’ın ad alanını kullanımdan kaldırma özelliğindeki bir kusur, saldırganların potansiyel olarak başka bir kullanıcının deposuna erişmesine izin vermiş olabilir.
Checkmarx’tan araştırmacılar tarafından ‘repojacking’ olarak adlandırılan teknik, kötü niyetli aktörlerin “emekli” GitHub ad alanlarının ele geçirilmesine karşı korumaları atlamasını sağlayabilirdi.
GitHub depolarının, onu oluşturan kullanıcı hesabının altına yerleştirilmiş benzersiz bir URL’si vardır. Bağlantılı URL ve kullanıcı adı birlikte ‘ad alanı’ olarak adlandırılır.
Bir kullanıcı GitHub hesabını yeniden adlandırmayı seçtiğinde, platform eski URL’lerini yeni URL’ye yönlendirir.
Ancak, bu özelliğin “orijinal yönlendirmeyi bozan mantıksal bir kusura” karşı savunmasız olduğu bulundu.
Web güvenlik açıklarıyla ilgili en son haberleri okuyun
Kötü niyetli bir aktör, başka bir kullanıcının önceki hesap adını kullanarak bir hesap oluşturduysa, eski depo URL’sini hesaplarına bağlayabilir ve bu süreçte koda ve diğer içeriğe erişim elde edebilirdi.
Ek olarak ve sorunu birleştirerek, varsayılan yönlendirme devre dışı bırakıldı, bu nedenle bir saldırı başarılı olursa, mevcut tüm trafik derhal saldırganların kötü niyetli GitHub deposuna yönlendirildi.
Buna karşı korunmak için GitHub başlangıçta “popüler depo ad alanı emekliliği” özelliğini tanıttı; bu, kullanıcı hesabı yeniden adlandırıldığında 100’den fazla klonu olan herhangi bir havuzun “emekli” olduğu ve ad alanının başkaları tarafından kullanılamayacağı anlamına gelir.
Zaman çizelgesi
Bir blog yazısında Checkmarx araştırmacıları, bu özellikten yararlanmalarına izin veren iki geçiş bulduklarını açıkladılar ve başarılı bir saldırının Packagist, Go, Swift ve daha fazlası dahil olmak üzere birçok popüler paket yöneticisinde popüler kod paketlerinin ele geçirilmesini sağlayacağını belirtti.
Ekip, Kasım 2021’de bir ilk bypass keşfetti ve bunu Mart 2022’de “düzelten” GitHub’a bildirdi.
Mayıs 2022’de hala sömürülebilir olarak kabul edildi ve o ay sonra tekrar yamalandı.
Ardından Haziran ayında, Checkmarx araştırmacıları, Eylül ayında yamalanan ve bu hafta (26 Ekim) açıklanan ikinci bir baypas buldular.
Araştırmacılara, keşif için açıklanmayan bir böcek ödülü ödülü verildi. Checkmarx, daha fazla baypas bulunursa binlerce deponun risk altında olabileceği konusunda uyarıyor.
Araştırmacılar bir blog yazısında, “Yeniden adlandırılan kullanıcı adlarını kullanan bu paket yöneticilerinde 10.000’den fazla paket belirledik ve yeni bir baypas bulunması durumunda bu tekniğe karşı savunmasız olma riskiyle karşı karşıyayız” dedi.
ÖNERİLEN GitHub’da oturum açma sahtekarlığı sorunu, araştırmacıya 10 bin dolarlık hata ödülü kazandırıyor