Checkmarx Tedarik Zinciri Güvenliği ekibi, ABD’de keşfedilen yeni bir kusurla ilgili bulgularını paylaştı. GitHub Bu, saldırganların depoların kontrolünü ele geçirmesine ve kodlara ve uygulamalara kötü amaçlı yazılım bulaşmasına olanak tanır. Araştırmacılar bunu GitHub’da yüksek düzeyde bir kusur olarak adlandırdı.
Bulgular Detaylar
Araştırmacılara göre, saldırgan RepoJacking adlı bir teknik kullanabilir ve mimarideki mantıksal bir kusurdan yararlanarak bir GitHub deposunu kontrol edebilir ve yeniden adlandırılan kullanıcıları saldırıya karşı savunmasız hale getirebilir. Aslında, platformdaki tüm yeniden adlandırılan kullanıcı adları bu kusura karşı savunmasızdı. Buna Swift, Go ve Packagist paket yöneticilerindeki 10.000 paket dahildir.
Araştırmacılar, “Bunun pratik anlamı, binlerce paketin anında ele geçirilebilmesi ve milyonlarca kullanıcıya ve birçok uygulamaya kötü amaçlı kod sunmaya başlamasıdır” dedi.
Hata GitHub tarafından ünlü “depo ad alanı kullanımdan kaldırılması” özellik. Ancak araştırmacılar, bu aracın saldırganlar tarafından hedef alınmaya karşı da savunmasız olduğunu belirtti. Bu araç, RepoJacking’i önlemek için GitHub tarafından oluşturuldu.
Sorun nedir?
GitHub depoları, yaratıcılarının kullanıcı hesabına benzersiz URL’ler sağlar. Kullanıcı hesabını yeniden adlandırmaya karar verirse yeni bir URL oluşturulur. Öte yandan GitHub, trafiği deponun orijinal URL’sinden yönlendirecektir.
RepoJacking’de, yeniden adlandırılan depo URL’leri trafiği kaçırılır ve mantıksal bir kusurdan yararlanılarak saldırganın deposuna yönlendirilir. Bu kusur, orijinal yönlendirmeyi ihlal edebilir. Bir GitHub deposu, içerik oluşturucu kullanıcı adını yeniden adlandırmaya karar verdiğinde ve eski kullanıcı adı kayıt için uygun kaldığında RepoJacking’e karşı savunmasız hale gelir.
Bu nedenle, bir saldırgan, eski depo URL’siyle eşleşmesi için aynı kombinasyonla yeni bir GitHub hesabı oluşturabilir.
Checkmarx, “Yeniden adlandırılan kullanıcı adlarını kullanan bu paket yöneticilerinde 10.000’den fazla paket belirledik ve yeni bir baypas bulunması durumunda bu tekniğe karşı savunmasız kalma riskiyle karşı karşıyayız.” Blog yazısı okuman.
RepoJacking Hız Kazanıyor
Checkmarx’ın güvenlik araştırmacısı ve ekip lideri Aviad Gershon, bu yılın başlarında ekibinin RepoJacking tekniğinin kullanımında bir artış gözlemlediğini açıkladı. Bu, kötü niyetli aktörlerin, maksimum etkiyi sağlarken güvenilir açık kaynak paketlerinden en basit şekilde yararlanmak için metodolojilerini geliştirmeye çalıştıklarını gösteriyor. Güvenlik birliği, kusurları tehdit aktörlerinden önce tespit etmek ve düzeltmek için proaktif olarak birlikte çalışmalıdır.
Sonuç olarak, binlerce projenin milyonlarca kullanıcısı açık kaynak kitaplıklarına ve kod havuzlarına güveniyor. Onları saldırganlar için çekici bir hedef yapan da budur. Bir GitHub deposunu kontrol edebilir ve başka türlü güvenilen bir projeye kötü amaçlı kod enjekte edebilirlerse, binlerce cihaza kolayca bulaşabilirler.
Alakalı haberler
- GitHub Artık SSH Git İşlemleri için Güvenlik Anahtarlarını Destekleyecek
- Tedarik Zinciri Saldırısında Binlerce GitHub Deposu Klonlandı
- Bilgisayar korsanları, 100 saniye içinde ETH’de 1.200 $ çalmak için Github botunu kullanıyor
- Bilgisayar korsanları, sahte GitHub depoları oluşturmak için meta verileri taklit ediyor
- GitHub: Hackerlar Düzinelerce Firmayı Hedeflemek için OAuth Erişim Belirteçlerini Çaldı