Araştırmacılar, etkilenen bir saldırı vektörünü ortaya çıkardılar GitHub açık kaynaklı projeler Google, Microsoft, Amazon Web Services ve diğerlerine ait olan, yazılım geliştirme iş akışlarının bir parçası olarak oluşturulan eserleri kötüye kullanarak yürütülen.
Palo Alto Networks’ün 42. Birimindeki araştırmacılar, “dünyanın en büyük şirketlerine ait yüksek profilli açık kaynaklı projelere” karşı etkili olan saldırıyı keşfetti. bir blog yazısı dün baş araştırmacı Yaron Avital tarafından yayınlandı. Bu projelerin tehlikeye atılması, “milyonlarca tüketicileri üzerinde potansiyel bir etkiye yol açabilirdi.”
Projeleri GitHub Actions yapıtları olarak adlandırılan şeyleri kötüye kullanan saldırı vektöründen etkilenen diğer şirketler arasında Canonical (Ubuntu), OWASP Foundation ve Red Hat ve diğerleri yer alıyor. Avital, vektörün yapıtların hem üçüncü taraf bulut hizmetlerinin hem de GitHub token’larının token’larını sızdırmasına neden olduğunu ve bunları depoya “okuma erişimi” olan herkesin tüketmesine olanak sağladığını yazdı.
“Bu, bu eserlere erişimi olan kötü niyetli aktörlerin bu sırların erişim sağladığı hizmetleri tehlikeye atma potansiyeline sahip olmasını sağlar,” diye açıkladı. Etkinlikte bulunan en yaygın sızıntı, GitHub token’larının sızdırılmasıydı, “bir saldırganın tetikleyiciye karşı hareket etmesine izin veriyordu GitHub deposu” diye ekledi Avital.
Bu ifşa, saldırganların kötü amaçlı kodları üretime göndermesine olanak tanımış olabilir. sürekli entegrasyon ve sürekli teslimat/dağıtım (CI/CD) boru hattıveya GitHub deposunda ve organizasyonunda saklanan sırlara erişmek için kullanıldığını açıkladı.
Avital, Unit 42’nin etkilenen projelerin tüm şirketleri ve bakımcılarıyla çalıştığını ve “tüm ekiplerden büyük destek aldığını”, böylece tüm keşiflerin “hızlı ve etkili bir şekilde” hafifletildiğini yazdı. Ancak, diğer bilinmeyen özel ve kamu projeleri de saldırıya maruz kalabilir.
Gelişim Döngüsünü Zehirlemek
CI/CD ortamları, süreçleri ve sistemleri, modern yazılım geliştirme kod oluşturma, test etme ve üretime sunma akışında. Bununla birlikte, çeşitli hizmet türlerine karşı kimlik doğrulaması yapmak için son derece hassas kimlik bilgileri kullandıkları için saldırganlar için önemli bir fırsat sunuyorlar ve Avital, “yüksek düzeyde kimlik bilgisi hijyeni sağlamak için önemli bir zorluk yaratıyorlar” diye yazdı.
Saldırı, geliştiricilerin aynı iş akışı içindeki işler arasında veriyi kalıcı hale getirmelerine ve paylaşmalarına olanak tanıyan iş akışı yapı eserleri olan GitHub Actions’ta merkezler keşfetti. Avital, “Bu eserler, derlenmiş kod, test raporları veya dağıtım paketleri gibi yapı süreciniz sırasında oluşturulan herhangi bir dosya olabilir” diye açıkladı.
Yapıtlar, kritik verilerin bir iş akışı tamamlandıktan sonra kaybolmamasını sağlayarak, daha sonraki analiz veya dağıtım için erişilebilir hale getirir. Avital, bunun “özellikle bağımlı işler arasında test sonuçlarını veya dağıtım paketlerini paylaşmak için yararlı” olduğunu belirtti.
GitHub Actions iş akışları, çeşitli uygulamalarla etkileşim kurmak için sıklıkla gizli bilgileri kullanır. bulut hizmetleri ve GitHub’ın kendisiyle. Bu sırlar, depoya karşı eylemler gerçekleştirmek için kullanılan geçici, otomatik olarak oluşturulan GitHub belirtecini de içerir.
“Actions yapı eserleri, iş akışlarının yürütülmesiyle üretilen çıktılardır ve oluşturulduktan sonra 90 güne kadar saklanırlar,” diye açıkladı Avital. “Açık kaynaklı projelerde, bu eserler herkesin tüketmesi için herkese açıktır.”
Keşfettiği saldırı akışı, saldırganların herkese açık yapıtı indirmesine, belirteci çıkarmasına ve kötü amaçlı kodu açık kaynaklı bir projenin deposuna göndermesine olanak tanır. Kod daha sonra projenin bir parçası haline gelir ve böylece nihai kullanıcıların erişebileceği bir yazılım veya hizmetin parçası olarak yürütülebilir.
42. Ünitenin gönderisinde bir liste yer aldı GitHub Saldırı vektöründen etkilendiği bilinen açık kaynaklı projeler.
Bütünsel Bir Savunma Yaklaşımı Gereklidir
GitHub, yalnızca birkaç satır kodu zehirleyerek sayısız yazılıma ve hizmete erişmenin çekici bir yolu olması nedeniyle tehdit aktörleri için önemli bir hedef haline geldi depolarda.
Yeni saldırı vektörü, “eser taramasıyla ilgili mevcut güvenlik görüşmelerinde bir boşluk olduğunu” gösteriyor GitHub’da, Avital, bu durumun eser mekanizmasını kullanan kuruluşların “bunu kullanma biçimlerini yeniden değerlendirmeleri” gerektiği anlamına geldiğini yazdı.
Ayrıca, savunucuların yazılım geliştirmeye bütünsel bir yaklaşım benimsemelerini ve olası güvenlik açıkları için her aşamasını (koddan üretime) incelemelerini önerdi. Avital, “Yapı eserleri gibi gözden kaçan unsurlar genellikle saldırganlar için birincil hedef haline gelir” diye yazdı.
Kuruluşların ayrıca, çalıştırma belirteçlerinin iş akışı izinlerini en düşük ayrıcalık düzeyine göre azaltmaları ve geliştirme projelerinin güvenlik duruşunu güçlendirmek için proaktif ve dikkatli bir güvenlik yaklaşımının parçası olarak CI/CD kanallarındaki eser yaratımını gözden geçirmeleri gerektiğini belirtti.