19 Eylül 2022’de GitHub tarafından yakın zamanda yüksek önemde bir güvenlik açığı düzeltildi ve bu, bulut tabanlı bir depo barındırma hizmetidir. Bu güvenlik açığından yararlanılarak kötü amaçlı depolar oluşturulabilir ve tedarik zincirine saldırılar düzenlenebilirdi.
Bu güvenlik açığı “RepoJacking” olarak adlandırıldı ve Checkmarx SCS (Tedarik Zinciri Güvenliği) ekibindeki uzmanlar tarafından keşfedildi.
RepoJacking
RepoJacking, tehdit aktörleri tarafından “Popüler depo ad alanı emekliliği” koruma mekanizmasından kaçınmak için kullanılabilecek bir tekniktir.
RepoJacking tekniği, yeniden adlandırılan depo URL trafiğinden yararlanmak ve verileri çalmak için onu saldırganın deposuna yönlendirmek için tasarlanmıştır.
Bu yöntemi kullanarak, geliştiricilerin aynı adı taşıyan güvenli olmayan depoları aynı depodan sürüklemeleri engellenir.
GitHub söz konusu olduğunda, bu kusur, yeniden adlandırılan tüm kullanıcı adlarını etkiledi. Aşağıdaki paket yöneticilerine dahil olan 10.000’den fazla paket vardır: –
- Paket yöneticilerine git
- Swift paket yöneticileri
- Packagist paket yöneticileri
Sonuç olarak, binlerce paket tehdit aktörleri tarafından anında ele geçirilebileceğinden, milyonlarca kullanıcıya anında kötü amaçlı kod bulaşmış olabilir.
GitHub depoları, yaratıcıları eski kullanıcı adının yayınlanmasıyla birlikte kullanıcı adlarını yeniden adlandırmaya karar verdiğinde saldırıya uğrayabilir ve burada bu durumda eski kullanıcı adı yeni kullanıcı adı altında kaydedilebilir.
GitHub Arasındaki Bağlantı Rarşiv & Kullanıcı adı
Her GitHub deposuyla ilişkilendirilmiş, onu oluşturan kullanıcının hesabının altında yuvalanmış benzersiz bir URL vardır.
Bir havuzdan bir dizi açık kaynak dosyası indirmek için, açık kaynak kodunu içeren havuzun tam URL’sini kullanmanız gerekir.
Bir kullanıcı hesabını yeniden adlandırdığında ne olur? GitHub böyle bir durumda yeniden adlandırmayı destekler, yeniden adlandırmanın onaylandığını ve tüm eski havuzun trafiğinin yeni adlandırılmış havuza yönlendirileceğini belirterek aşağıdaki uyarıyı görüntüler.
Bu değişikliğin bir sonucu olarak, değişiklikten haberdar olmayan kullanıcılar siteye erişmeye devam edebilecektir.
Rapora göre, saldırı büyük ölçüde GitHub’ın ad alanını yalnızca terk edildikten sonra emekli olarak kabul ettiği gerçeğine dayanıyor. Bir saldırgan bu güvenlik açığından yararlanmayı başardıysa, kötü amaçlı depoları zorlayabilirdi.
GitHub Korumasından Kaçınmak
Checkmark araştırmacılarındaki siber güvenlik analistleri, “Depo Aktarımı” özelliğinin kullanımının araştırılmasında aşağıdaki bypass’ı keşfetti:
- “Kurban/repo”, “popüler veri havuzu ad alanı emekliliği” koruması kapsamında emekliye ayrılan popüler bir GitHub deposudur.
- “helper_account”, “repo” deposunu oluşturur
- “helper_account”, “repo” deposunun sahipliğini “saldırgan_hesabı”na aktarır.
- “saldırgan_hesap”, kullanıcı adını “kurban” olarak yeniden adlandırır.
- Yeni “kurban” hesabı (önceden “saldırgan_hesabı”) sahiplik aktarımını kabul eder
Zaman çizelgesi
- 1 Kasım 21 – GitHub ad alanı kullanımdan kaldırma özelliğini atlamanın bir yolunu bulduk
- 8 Kasım 21 – Baypas bulgularını GitHub’a açıklıyoruz
- 8 Kasım 21 – GitHub bypass’ı kabul etti ve bir düzeltme üzerinde çalıştıklarını söyledi
- 24 Mart 22 – GitHub, bypass’ı düzelttiklerini yanıtladı
- 11 22 Mayıs – Baypasın hala kullanılabilir olduğunu keşfettik ve GitHub’a bildirdik
- 23 Mayıs 22 – Bu saldırı açık kaynak saldırısına karşı aktif bulundu
- 25 22 Mayıs – Bu teknik, saldırıların sahibi olan bir güvenlik araştırmacısı tarafından yayınlandı ve kısa bir süre sonra GitHub tarafından düzeltildi.
- 13 Haziran 22 – GitHub ad alanı kullanımdan kaldırma özelliğini atlamak için ek güvenlik açığı bulduk ve GitHub’a bildirdik
- 19 Eylül 22 – GitHub güvenlik açığını düzeltti, “Yüksek” önem derecesi olarak sınıflandırdı ve bize bir hata ödülü verdi
- 26 Ekim 22 – Tam açıklama
Siber güvenlik uzmanları, kullanıcıların artık güvenli olmadıkları için kullanımdan kaldırılan ad alanlarını kullanmaktan kaçınmalarını şiddetle tavsiye ediyor. Sonuç olarak bu, saldırı yüzeyini önemli ölçüde azaltacaktır, çünkü bu mekanizma içinde başka güvenlik açıkları hala mevcut olabilir.
Hizmet Olarak Sızma Testi – Red Team & Blue Team Workspace’i İndirin