Son GitHub yazılım tedarik zinciri saldırısı, CISA’nın alarmı gösteren 23.000 deposuna maruz kaldı. Güvenlik açığı, TJ-Actions/değiştirilmiş dosyalar adlı yaygın olarak kullanılan bir üçüncü taraf github eylemini etkilemektedir. Bu uzlaşma önemli bir risk oluşturmaktadır, çünkü özel RSA anahtarlarına, GitHub kişisel erişim belirteçlerine (PAT’ler), NPM jetonlarına ve erişim tuşlarına yetkisiz erişime izin verir.
Siber güvenlik topluluğu bize bu saldırının önemi ve gelecekte bu tehditleri önlemeye ve hafifletmeye yardımcı olmak için çevreleyen yazılım tedarik zinciri güvenlik açıkları hakkında bilgi vermiştir.
Alex Ilgayev, Güvenlik Araştırma Başkanı, Sycode
TJ-Actions/Değişen Files’e yapılan bu saldırı, yazılım tedarik zinciri güvenlik topluluğumuz için bir uyandırma çağrısıdır. 23.000’den fazla depo potansiyel olarak tehlikeye atıldığında, saldırganlar sadece sırları çalmıyorlardı-açık kaynaklı gelişimin temelini hedefliyorlardı. Proaktif risk yönetimini ve GitHub eylemlerinde tehditlerin tespit edilmesine, analiz edilmesine ve düzeltilmesine nasıl yardımcı olacağını anlıyoruz. Araştırma ekibimiz bu olayı kapsamlı bir şekilde araştırdı ve topluluğun boru hatlarının tehlikeye girip girmediğini belirlemesine yardımcı olmak için bir CI/CD sızıntı tarayıcısı geliştirmek için hemen harekete geçti.
TJ-Actions/Değişik Dosyalarla ilgili kötü niyetli eylemlere atıfta bulunan herhangi bir CI/CD boru hattı, kritik kimlik bilgilerini sızdırmış ve kuruluşları daha fazla sömürü riskine sokmuş olabilir. Bu izole bir olay değil-saldırganların kurumsal ortamlara sızmak için güvenilir açık kaynaklı bileşenleri silahlandırdığı büyüyen bir trendin bir parçası. Github’ın hızla artan benimsenmesi göz önüne alındığında, kuruluşların hızlı davranmaları ve boru hatlarını güvence altına almaları her zamankinden daha kritik.
Tedarik zinciri saldırılarını tırmanmadan önce tespit etmek ve engellemek için iş akışlarını denetleyin, sırları döndürün ve proaktif güvenlik önlemlerini kullanın. Bahisler reaktif güvenlik için çok yüksektir, bu nedenle ekipler bunu akılda tutmalıdır. Bu tedarik zinciri saldırısı için Sycode’un eksiksiz kılavuzu için burayı ziyaret edin.
David Stuart, Siber Güvenlik Evangelisti, Sentra
Github’a yapılan saldırı, kod depolarındaki veri sızıntısına ve yanlış yapılandırmaya karşı daha iyi koruma ihtiyacının altını çiziyor. Veri kaybını önlemek – aşırı pozlama, yanlış yakınlaştırmalar veya şifreler ve sırlar gibi hassas bilgilerin kazara dahil edilmesi – proaktif bir yaklaşım gerektirir.
Kuruluşlar iki kilit alana odaklanmalıdır: maruz kalmadan önce hassas verileri tanımlamak ve korumak için veri duruş yönetiminin güçlendirilmesi ve değerli fikri mülkiyet veya kimlik bilgilerinin bulunabileceği veri depolarını hedefleyen tehditleri sürekli olarak izlemek. Bu adımları atarak şirketler, hassas verilerin yanlış ellere düşme riskini azaltabilir.
Joe Silva, CEO, SPECT
GitHub eylemlerine yönelik son tedarik zinciri saldırısı, birden fazla projenin tedarik zincirlerini etkilediği için tipik tedarik zinciri saldırılarının yukarı aktı. Özel depoların tehlikeye girmesi gerektiği gerçeği, GitHub eylemlerinden yararlanan geniş bir ticari yazılım alanında potansiyel riski gösterir. Bu olay nedeniyle daha sonraki yazılım açıklamaları olabilir ve sonuçta bu, ticari ve açık kaynaklı yazılım ekosistemine olan güveni bozar ve aynı zamanda şirketlerdeki kullanıcılar tarafından oluşturulan evde yetiştirilen yazılımlarda artan risk yaratır.
Bu GitHub olayı, tedarik zinciri saldırılarının artan sıklığını göstermektedir. Bir zamanlar öncelikle sofistike ulus devletlerin alanı, bu saldırılar, geçmişteki diğer TTP’lerde olduğu gibi, saldırılardaki teknik ve ekonomik sınırlamalar azaldıkça devlet dışı aktörlere giderek daha fazla çoğalmaktadır. Bu saldırıların çoğalması ve yazılım ekosisteminde oluşturdukları genel bozulmuş güven, kuruluşların açıklamalara/CVES’e güvenmek yerine yazılım riskine çalışma zamanı görünürlüğüne sahip olmalarını veya etkilenen yazılımdan sonra saldırıların tespit edilmesini sağlamaktan daha önemli hale getirmektedir.
Katie Paxton-Fear, Baş Güvenlik Araştırma Mühendisi, Koşum
Github Eylemleri, kod değişiklikleriyle tetiklenen küçük komut dosyalarını yürüterek yazılım geliştirme iş akışlarını otomatikleştirir. Yaygın kullanımlar, hatalı kodun kullanıcılara ulaşmasını önlemek için test testlerini içerir. Adından da anlaşılacağı gibi, “TJ-Actions/Değişen Dosyalar” eylemi, son taahhütten bu yana değiştirilen dosyaların bir listesini sağlar.
Bir saldırgan, kimlik bilgilerini çalmak ve bunları iletmek için tasarlanmış bu otomasyona başarılı bir şekilde kötü niyetli bir işlev ekledi. Kullanılan yöntem ilgi çekici idi: nispeten yaygın bir taktik olan kimlik bilgilerini yerleştiren ve söndüren bir Python komut dosyasını yürüten gizlenmiş kod eklediler. Başarılarının anahtarı, bakıcı incelemesini atlatıyor. Başlangıçta tehlikeye atılan bir bot erişim belirtecine atfedilen saldırı, kötü niyetli yükün yanında modası geçmiş bir bileşen eklemeye yönelik. Eski bileşenleri güncellemek üzere programlanan “TJ-Actions” botu otomatik olarak yeni bir taahhüt oluşturdu. Bu taahhüt, eleştirel olarak, hem güncellenmiş bileşeni hem de saldırganın kötü amaçlı kodunu içeriyordu. Her ne kadar saldırganın orijinal çekme talebi, doğrulama eksikliği nedeniyle göz ardı edilmesine rağmen, botun taahhüdü otomatik olarak doğrulandı ve güvenilirken konuşlandırıldı.
“Değişen Dosyalar” eyleminin kullanıcıları hemen kimlik bilgilerini döndürmelidir. Bu, mevcut kimlik bilgilerinin geçersiz kılınmasını ve yenilerinin oluşturulmasını, çalınan bilgileri etkili bir şekilde etkisiz hale getirmeyi içerir.
Bu olay, açık kaynaklı projeler için artan tehdidi vurgulamaktadır. Saldırganlar, bu projeleri kötü amaçlı yazılım dağıtmak veya kimlik bilgilerini çalmak için giderek daha fazla hedefliyor ve güvenilir durumlarından yararlanıyor. Açık kaynaklı koruyucular, gelişen saldırı teknikleri hakkında bilgilendirilmeli ve uyanık kalmalıdır. Bu saldırı açık kaynak değerini zayıflatmasa da, birçok projenin karşılaştığı sınırlı kaynak ve güvenlik zorluklarının altını çiziyor. Açık kaynaklı yazılımlara büyük ölçüde bağımlı kuruluşlar, bu hayati projelerin güvenlik duruşunu geliştirmek için destek sağlamayı düşünmelidir.
Bu saldırı için paket servisi, kodu gerçekten almak için kullandıkları yöntemin bakıcıları geçmesidir, bu yüzden koruyucuların aslında ilk kez doğru bir şekilde atfedmemesidir. Saldırganlar botun güvenilir olduğunu bildiğinden, esasen bir bağımlılık botunu kötü amaçlı yazılım katır olarak kullanmayı başardılar.
Nick Mistry, SVP, Ciso, LineaJe
23.000 projeden hassas verileri ortaya çıkaran son GitHub tedarik zinciri saldırısı, kritik, genellikle gözden kaçan bir riski vurgular: yapı takımlarının güvenliği ve CI/CD boru hattı eklentileri. Bu saldırı, uygulama kodundaki bir güvenlik açığından kaynaklanmadı, ancak sadece uygulama kodunu değil, aynı zamanda araç ve bağımlılıklar oluşturan yazılım Materyalleri Yasası’na (SBOMS) ihtiyacını vurgulayarak, oluşturma işlemi içinde tehlikeye atılmış bir eklenti.
İş akışlarını otomatikleştirmek için kullanılan eklentiler genellikle üst düzey izinlere sahiptir ve kod bağımlılıkları kadar kapsamlı bir şekilde kontrol edilmez, bu da onları saldırganlar için hedefler yapar. Bu riskleri azaltmak için kuruluşlar, yapı sistemleri de dahil olmak üzere tüm yazılım ortamındaki güvenlik açıklarını düzenli olarak analiz etmelidir.
Bu saldırı, yazılım dağıtım sürecinin her bölümünün güvenliğini sağlamak için hem kod hem de oluşturma araçları için gerçek zamanlı izleme ve otomatik tehdit algılama da dahil olmak üzere tedarik zinciri güvenliğine kapsamlı bir yaklaşıma ihtiyaç olduğunu vurgulamaktadır. Bu Github olayını hesaba katmak ve gelecekte benzer olanları önlemeye yardımcı olmak için yapı boru hattınızın bir SBOM ihtiyacı hakkında konuşmanın zamanı geldi.
Çözüm
Sonuç olarak, GitHub tedarik zincirine yapılan son saldırı, yazılım geliştirme prosedürlerindeki zayıflıkların açık bir hatırlatıcısıdır. 23.000 deposun etkilendiği göz önüne alındığında, bu olay proaktif güvenlik önlemlerinin uygulanmasının ne kadar önemli olduğunu vurgulamaktadır.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!