3. Parti Risk Yönetimi , Uygulama Güvenliği , DevSecOps
Aqua Araştırmacıları, Google ve Lyft’in Savunmasız Depolar Arasında Olduğunu Söyledi
Akşaya Asokan (asokan_akshaya) •
24 Haziran 2023
Güvenlik şirketi Aqua’nın yeni bir raporuna göre, milyonlarca GitHub deposu, tedarik zinciri saldırılarına olanak sağlayabilecek bir depo yeniden adlandırma hatasına karşı savunmasız durumda.
Ayrıca bakınız: İsteğe Bağlı | Google Cloud ile Güvenli Başlayın ve Güvende Kalın
Depo ele geçirme veya repo hırsızlığı, bilgisayar korsanlarının kötü amaçlı kod çalıştırmak için GitHub projelerini ele geçirmesine izin veren bir saldırı biçimidir. Aqua araştırmacıları tarafından belirlenen güvenlik açığı, GitHub kullanıcıları veya kuruluşları, önceki depolarla olan bağımlılıkları korurken adı değiştirdiğinde ortaya çıkar.
Güvenlik firması, bilgisayar korsanlarının kullanıcı adları oluşturarak bu güvenlik açığından yararlanabileceğini belirtiyor. Eski sürümler bağımlılıkları koruma eğiliminde olduğundan, repo hırsızlığı, saldırganların bir havuza erişmesine ve başka bir GitHub hesabından bir projeyi klonlamasına olanak sağlayabilir.
Aqua araştırmacıları, “Saldırganlar belirli bir kuruluşa bağlı değildir” diyor. “İnterneti tarayabilir ve istedikleri herhangi bir kurbanı bulabilirler ve saldırının arkasında çıkar olduğunu hissederlerse, kazançlarını en üst düzeye çıkarana kadar devam edebilirler.”
Rapor, bilgisayar korsanlarının, belirli bir hedefi taramak için GitHub ile ilgili 2012 yılına kadar uzanan tüm bilgileri kaydeden GHTorrent gibi web sitelerinden yararlanabileceğini belirtiyor. Bu web sitesi şu anda kullanılamıyor olsa da Aqua araştırmacıları, veri setlerinin erişilebilir olmaya devam ettiğine dikkat çekti.
Araştırmacılar, repo hırsızlığı kullanarak hesabın ele geçirildiğini göstermek için Haziran 2019’dan verileri derlediklerini ve bunların %1’ini veya 1,25 milyon havuzun adını oluşturduklarını belirttiler.
Araştırmacılar, “36.983 havuzun repo hırsızlığına karşı savunmasız olduğunu bulduk. Bu, %2,95’lik bir başarı oranı” dedi. “Bu örnekte bulduğumuz sonucu tüm GitHub depolarının tabanına tahmin edersek, potansiyel olarak milyonlarca savunmasız depo vardır.”
GitHub, Information Security Media Group’tan gelen yorum talebine hemen yanıt vermedi.
Aqua, saldırganların bu kusuru kötü amaçlı kod tanıtmak için kullanabileceğini söyledi. Olası saldırı senaryosunu göstermek için araştırmacılar, Lyft ve Google’a ait depolara kötü amaçlı yazılımları başarıyla yerleştirebilecek bir kavram kanıtı saldırısı oluşturdu.
Araştırmacılar ayrıca, bilgisayar korsanlarının savunmasız depoları diğer projelere erişmek için potansiyel bir bağımlılık olarak kullanabileceğini ve potansiyel olarak bir tedarik zinciri saldırısına yol açabileceğini belirtti.
GitHub repo hırsızlığını ele almaya çalışsa da, Aqua araştırmacıları bunun tamamen etkili olmadığını söylüyor. Repo hırsızlığı riskini azaltmak için düzenli olarak dış bağlantıları kontrol etmek ve havuzların sahipliğini sağlamak gibi önlemlerin alınmasını tavsiye ediyorlar.