Siber güvenlik araştırmacıları, geliştirici hesaplarını tehlikeye atmak ve kimlik doğrulama jetonlarını çalmak için Github’ın OAuth2 cihaz yetkilendirme akışını kullanan sofistike bir yeni kimlik avı kampanyası belirlediler.
Bu ortaya çıkan tehdit, sosyal mühendislik taktiklerinde önemli bir evrimi temsil eder, geleneksel güvenlik önlemlerini atlamak ve kaynak kodu depolarına, CI/CD boru hatlarına ve hassas fikri mülkiyete yetkisiz erişim elde etmek için meşru Github işlevselliğini kullanır.
Saldırı tekniği yansıtma, yıllarca kurumsal ortamları rahatsız eden Azure Active Directory Cihaz Kodu kimlik avlama yöntemleri oluşturdu, ancak şimdi GitHub’ın platformu aracılığıyla geliştirici ekosistemini hedefliyor.
.png
)
Hileli web sitelerine veya kötü amaçlı bağlantılara dayanan geleneksel kimlik avı yaklaşımlarının aksine, bu saldırılar GitHub’ın yerel cihaz kodu kimlik doğrulama işlemini kötüye kullanır ve standart güvenlik kontrollerini kullanarak tespit edilmesini ve engellenmesini özellikle zorlaştırır.
TJ aksiyon olayı da dahil olmak üzere son yüksek profilli tedarik zinciri saldırılarının ardından, Praetorian analistler GitHub erişiminin yazılım geliştirme boru hatlarını tehlikeye atmak isteyen aktörleri tehdit etmek için giderek daha değerli hale geldiğini kaydetti.
Araştırmacılar, bu cihaz kodu kimlik avı saldırılarının, geliştiricilere telefon görüşmeleri yoluyla yürütüldüğünde% 90’ı aşan başarı oranlarına ulaştığını ve tekniğin güvenlik bilincine sahip hedeflere karşı bile etkinliğini gösterdiğini belirlediler.
.webp)
Başarılı saldırıların etkisi bireysel hesap uzlaşmalarının çok ötesine uzanmaktadır.
Saldırganlar Github OAuth jetonlarını uygun kapsamlarla elde ettikten sonra, tescilli kaynak kodunu dışarı atabilir, yanal hareket için GitHub eylem sırlarına erişebilir, kendi kendine barındırılan koşucularda kötü amaçlı kodlar yürütebilir ve binlerce aşağı akış kullanıcılarını etkileyen tedarik zinciri saldırıları başlatmak için potansiyel olarak arka kapı kritik depoları yapabilirler.
.webp)
GitHub çevresindeki kalkınma altyapısının merkezileştirilmesi, bu saldırıları özellikle minimum çabadan maksimum etki arayan aktörleri tehdit etti.
Saldırı mekanizması
GitHub aygıt kodu kimlik avı işlemi, OAUTH2 cihaz yetkisinin doğal güven modelinden yararlanan metodik beş aşamalı bir yaklaşımı izler.
Saldırı, tehdit aktörleri GitHub’ın OAuth API’sı aracılığıyla cihaz kodları oluşturduğunda ve genellikle kullanıcı, depo ve iş akışı kapsamları dahil olmak üzere geniş izinler talep ettiğinde başlar.
Aşağıdaki kod snippet’i ilk isteği gösterir:-
curl -X POST https://github.com/login/device/code \
-H "Accept: application/json" \
-d "client_id=01ab8ac9400c4e429b23&scope=user+repo+workflow".webp)
Saldırganlar genellikle yetkilendirme işlemi sırasında kullanıcı şüphesini azaltmak için Visual Studio Kodu’nun tanımlayıcısı (01AB8AC9400C4E429B23) gibi meşru istemci kimliklerini kullanırlar.
Sunucu yanıtı, jeton alımı için bir cihaz kodu, altı haneli bir kullanıcı kodu, doğrulama URL’si (https://github.com/login/device) ve 15 dakikalık bir son kullanma penceresi içerir.
Sosyal mühendislik aşaması, geliştiricileri doğrulama URL’sine gitmeye ve verilen kodu girmeye ikna etmeyi içerir.
Praetorian araştırmacılar, cihaz kayıt güncellemelerinin gerekli olduğunu iddia eden yardım masası personelinin taklit edilmesi veya güvenlik doğrulama prosedürleri yürüten BT personeli de dahil olmak üzere çeşitli başarılı bahaneleri belgelemiştir.
Mağdurlar kimlik doğrulama akışını tamamladıktan ve başvuruyu yetkilendirdikten sonra, saldırganlar orijinal cihaz kodunu kullanarak OAuth jetonunu alırlar.
Bu jeton, kurbanın GitHub kaynaklarına kalıcı erişim sağlar ve kapsamlı keşif ve veri açığa çıkma faaliyetlerini sağlar.
Tekniğin etkinliği, meşru Github işlevselliğini kullanmasından kaynaklanmakta ve kötü amaçlı cihaz kodu isteklerini ek bağlam veya davranışsal analiz olmadan gerçek kimlik doğrulama girişimlerinden ayırt etmeyi neredeyse imkansız hale getirmektedir.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam Acces’i isteyin