Oluşturma ve test otomasyonu için kullanılan açık kaynaklı bir yazılım olan Bazel, bir tehdit aktörünün Bazel kod tabanına kötü amaçlı kod yerleştirmesine, bir arka kapı oluşturmasına ve herkesin üretim ortamını etkilemesine olanak verebilecek kritik bir tedarik zinciri güvenlik açığıyla keşfedildi Bazel’i kullanıyor.
Araştırmacılar, Kubernetes, Angular, Uber, LinkedIn, Databricks, Dropbox, Nvidia, Google gibi Bazel kullanan milyonlarca projenin bu güvenlik açığından etkilenmiş olabileceğini belirtti. Ancak bu güvenlik açığı Google’a bildirildi ve güvenlik açığı bulunan iş akışı güncellenerek sorun giderildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Bazel, birden fazla projede en yaygın şekilde kullanılmaktadır ve GitHub’da 21.000’den fazla yıldıza sahiptir. Ayrıca Bazel, yeni kodu test etmek ve oluşturmak, sorunları etiketlemek ve zamanlanmış görevleri çalıştırmak için GitHub eylemlerini kullanıyor.
Üç eylem, özel eylemlerle derleme işlem hattıyla etkileşime girer.
- Docker eylemleri: Bir Docker kapsayıcısının içinde çalışır ve bir Dockerfile veya Image kullanılarak yapılandırılır
- JS eylemleri: İş akışıyla etkileşimde bulunmak için GitHub eylemleri araç setini kullanırken kodu yürütür ve farklı işlevleri çağırır.
- Bileşik eylemler: Her adımın kabuk komutlarını çağırabileceği veya ek eylemleri çağırabileceği birden fazla iş akışı adımını tek bir eylemde birleştirir.
Ancak tedarik zincirindeki bu güvenlik açığı, bileşik eylemlerin kötüye kullanılmasına odaklandı.
Daha spesifik olmak gerekirse, üç parçaya bölünebilen kiraz toplayıcı iş akışı araştırıldı.
Bölüm 1: Tetikleyiciler ve İzinler
Bu iş akışına, bir sorun kapatıldığında/günlüğe kaydedildiğinde çalışan tam Okuma/Yazma izinleri verilmiştir. Bunun nedeni GitHub’da yapılandırılan iş akışı izin ayarıydı. Bununla birlikte, herhangi bir değişiklik yapılmadan varsayılan iş akışı izinleri GITHUB_TOKEN’e tam erişim sağlar.
Bölüm 2: Masum İş Akışı
Bu bölüm, bir sorun dönüm noktasına ulaştığında gerçekleştirilen, kilometre taşlarına göre kiraz toplayıcı işine dayanır. Ancak değerli bir konu gündeme geldiğinde ve dönüm noktasına ulaştığında, Bazel sürekli entegrasyon deposunda bulunan bileşik eylemleri çağırır.
Bölüm 3: Enjekte Edilebilir Kompozit Eylem
İş akışının bu kısmı, girişleri doğrudan satır içi bash betiğine aktaran Girişleri Kabuğa Geçir yöntemiyle kötüye kullanılır. Bir kabuk komutu $( ) karakterlerini kullanıyorsa, parantez içindeki her şey komut olarak değerlendirilecek ve yürütülecektir.
Bölüm 4: Eylem Halinde Saldırı
Bu kısım saldırının tam akışını sağlar. Bir tehdit aktörü, kötü amaçlı veri yüküyle yeni bir sorun yaratabilir. Bu sorun kopyalandığında, kiraz toplayıcı iş akışı başlatılır ve kötü amaçlı yük yürütülür.
Cycode’un yayınladığı kaynak kodu, Bazel deposu ayrıntıları, iş akışı ve diğer bilgiler hakkında ayrıntılı bilgi sağlar.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.