RepoJacking adlı bir saldırı, potansiyel olarak milyonlarca GitHub deposunu etkileyebilir.
Bu güvenlik açığı kötüye kullanılırsa, kuruluşların dahili ağlarında veya müşterilerinin ağlarında kod yürütülmesine neden olabilir.
.png
)
Buna Google, Lyft ve diğerleri gibi şirketlerin depoları dahildir. Saldırıya açık birçok yüksek kaliteli hedefi vardır.
AquaSec’in güvenlik ekibi “Nautilus” tarafından incelenen 1,25 milyon GitHub deposunun yaklaşık %2,95’i RepoJacking’e karşı savunmasızdı.
RepoJacking Saldırısı Nasıl Çalışır?
RepoJacking, düşman bir aktörün bir oturumu kaydettiği ve daha önce bir şirket tarafından kullanılan ancak daha sonra adı değişen bir havuz oluşturduğu bir saldırıdır.
GitHub’da, şirketler genellikle yeni bir yönetim elde etmek için başka bir şirket satın aldığından veya onunla birleştiğinden veya yeni bir marka adı benimsemeye karar verebileceğinden, kullanıcı adı ve depo adı değişiklikleri sık görülür.
Bu meydana geldiğinde, yeniden adlandırılmış havuzlardan kod kullanan projelerin bağımlılıkları kırmasını önlemek için bir yeniden yönlendirme yapılır; ancak önceki ad kayıtlıysa yeniden yönlendirme geçersiz kılınır.
Bunu yaparak, saldırıya uğrayan projenin bağımlılıklarına bağlı olan herhangi bir kod veya proje, bu bağımlılıkları ve kötü amaçlı yazılım içerebilecek, saldırgan tarafından kontrol edilen depodan diğer kodları alır.
Alternatif olarak, bir havuzun kontrolü başka bir kullanıcıya verilirse ve orijinal hesap kaldırılırsa, bir saldırganın eski kullanıcı adıyla bir hesap başlatmasına izin verilirse aynı şey meydana gelebilir.
Bir tehdit aktörü, genel taahhütlere ve çekme isteklerine bağlı GitHub meta verilerini toplamak için GHTorrent gibi hizmetleri kullanarak farklı depoların bir listesini toplayabilir.
Cyber Security News ile paylaşılan bilgilere göre, GitHub’ın 330 milyondan fazla deposu olduğu göz önüne alındığında, bulgular milyonlarca havuzun benzer bir saldırıya açık olabileceğine işaret ediyor.
Böyle bir depo Google/matematik adımlarıdaha önce sahibi Socratic (socraticorg/matematik adımları), Google’ın 2018’de satın aldığı bir işletme.
Araştırmacılar, “https://github.com/socraticorg/mathsteps’e eriştiğinizde, https://github.com/google/mathsteps’e yönlendiriliyorsunuz, böylece kullanıcı sonunda Google’ın deposunu getirecek” dedi.
“Ancak, socraticorg organizasyonu mevcut olduğu için, bir saldırgan socraticorg/mathsteps deposunu açabilir ve Google’ın talimatlarını izleyen kullanıcılar bunun yerine saldırganın deposunu klonlar.
Ve npm kurulumu nedeniyle bu, kullanıcılar üzerinde keyfi kod yürütülmesine yol açacaktır.”
GitHub, bu riskin farkında olduğundan RepoJacking saldırılarına karşı korumalara sahiptir. Raporlar, şu ana kadar sağlanan çarelerin yetersiz olduğunu ve üstesinden gelinmesinin basit olduğunu gösteriyor.
Örneğin GitHub yalnızca en iyi bilinen projeleri koruduğu için, tedarik zinciri ihlali daha az bilinen, bunlara bağlı daha hassas projeleri de etkiler.
Ayrıca, bir havuzun adı değiştirilir ve GitHub onu 100’den fazla klonla korur, bu da kötü niyetli planlamanın bir işaretidir.
Bu koruma, yeni bir ad verildikten veya sahiplik değiştirildikten sonra popülerlik kazanan projeleri kapsamaz.
Azaltma
- Go modülleri gibi projelere yapılan referanslar herhangi bir noktada adlarını değiştirebileceğinden, kaynakları GitHub havuzlarının dışından çekebilecek bağlantılar için depolarınızı düzenli olarak kontrol edin.
- Şirketinizin adını değiştirirseniz, izinsiz giriş yapanların onu kullanmasını engellemek için, yalnızca bir yer tutucu olsa bile, eski adın size ait olduğundan emin olun.
Uç Noktalarınızı Verimli Bir Şekilde Yönetin ve Güvenliğini Sağlayın – Ücretsiz indirin