GitHub’daki 15.000 Go Modülü Deposu Repojacking Saldırısına Karşı Savunmasız


05 Aralık 2023Haber odasıYazılım Güvenliği / Tedarik Zinciri

Yeniden Hırsızlık Saldırısı

Yeni araştırmalar GitHub’daki 15.000’den fazla Go modülü deposunun repojacking adı verilen bir saldırıya karşı savunmasız olduğunu ortaya çıkardı.

VulnCheck’in baş teknoloji sorumlusu Jacob Baines, The Hacker News ile paylaşılan bir raporda “9.000’den fazla veri havuzu GitHub kullanıcı adı değişiklikleri nedeniyle yeniden ele geçirilmeye karşı savunmasız durumda” dedi. “Hesabın silinmesi nedeniyle 6.000’den fazla depo yeniden ele geçirilmeye karşı savunmasızdı.”

Bu depolar toplamda 800.000’den fazla Go modülü sürümüne karşılık gelir.

YAKLAŞAN WEBİNAR

Uygulama Yanıt Stratejileri ile İçeriden Tehdit Tespitini Öğrenin

Uygulama algılama, yanıt verme ve otomatik davranış modellemenin içeriden gelen tehditlere karşı savunmanızda nasıl devrim yaratabileceğini keşfedin.

Şimdi Katıl

“Depo” ve “ele geçirme”nin bir birleşimi olan repojacking, kötü niyetli bir aktörün hesap kullanıcı adı değişikliklerinden ve silmelerinden yararlanarak aynı ada ve önceden var olan kullanıcı adına sahip bir depo oluşturarak açık kaynak oluşturmasına olanak tanıyan bir saldırı tekniğidir. yazılım tedarik zinciri saldırıları.

Bu Haziran ayının başlarında, bulut güvenlik firması Aqua, GitHub’daki milyonlarca yazılım deposunun muhtemelen tehdide karşı savunmasız olduğunu açıklayarak, ad değişikliğine uğrayan kuruluşlara, bu tür suiistimalleri önlemek için yer tutucu olarak hâlâ önceki adlarına sahip olduklarından emin olmaları çağrısında bulundu.

Go programlama dilinde yazılan modüller, npm veya PyPI gibi diğer paket yöneticisi çözümlerinin aksine, yeniden kodlanmaya karşı özellikle hassastır; GitHub veya Bitbucket gibi sürüm kontrol platformlarında yayınlanmaları nedeniyle merkezi değildirler.

Baines, “Daha sonra herkes Go modül aynasına ve pkg.go.dev’e modülün ayrıntılarını önbelleğe alması talimatını verebilir” dedi. “Saldırgan yeni kullanılmayan kullanıcı adını kaydedebilir, modül deposunu kopyalayabilir ve proxy.golang.org ve go.pkg.dev’de yeni bir modül yayınlayabilir.”

Geliştiricilerin potansiyel olarak güvenli olmayan paketleri kaldırmasını önlemek için GitHub, popüler veri havuzu ad alanının kullanımdan kaldırılması adı verilen ve sahiplerin hesapları yeniden adlandırılmadan veya 100’den fazla kez klonlanmış kullanımdan kaldırılan ad alanlarının adlarıyla depolar oluşturma girişimlerini engelleyen bir karşı önlem uygulamaktadır. silindi.

Ancak VulnCheck, Go modülleri söz konusu olduğunda bu korumanın yararlı olmadığını, çünkü bunların modül aynası tarafından önbelleğe alındığını, dolayısıyla bir depoyla etkileşim kurma veya bir depoyu klonlama ihtiyacını ortadan kaldırdığını belirtti.” Başka bir deyişle, popüler Go tabanlı modüller olabilir. 100’den az kez klonlanmış, bu da bir nevi baypasla sonuçlanmıştır.

Siber güvenlik

Baines, “Maalesef tüm bu yeniden çalma olaylarını azaltmak Go veya GitHub’un üstlenmesi gereken bir şey” dedi. “Üçüncü bir tarafın 15.000 GitHub hesabını makul bir şekilde kaydettirmesi mümkün değil. O zamana kadar Go geliştiricilerinin kullandıkları modüller ve modüllerin kaynaklandığı deponun durumu hakkında bilgi sahibi olması önemlidir.”

Açıklama aynı zamanda Lasso Security’nin Hugging Face ve GitHub’da Google, Meta, Microsoft ve VMware ile ilişkili olanlar da dahil olmak üzere tedarik zincirini geliştirmek, veri zehirlenmesini eğitmek ve model hırsızlığı yapmak için potansiyel olarak istismar edilebilecek 1.681 açık API tokeni keşfettiğini söylemesinin ardından geldi. saldırılar.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link