Millones de repositorios de software empresarial en GitHub son vulnerables a volver a robar, un tipo relativamente simple de ataque a la cadena de suministro de software en el que un actor de amenazas redirige los proyectos que dependen de un repositorio en particular a uno malicioso.
El problema tiene que ver con cómo GitHub maneja las dependencias cuando un usuario u organización de GitHub cambia el nombre de un proyecto o transfiere su propiedad a otra entidad, dijeron investigadores de Aqua Security en un informe esta semana.
Riesgos de cambio de nombre
Para evitar romper las dependencias del código, GitHub crea un enlace entre el nombre del repositorio original y el nuevo para que todos los proyectos que dependen del repositorio original se redirijan automáticamente al nuevo nombre. Sin embargo, si una organización no logra proteger adecuadamente el antiguo nombre de usuario, un atacante podría simplemente reutilizarlo para crear una versión con troyanos del repositorio original para que cualquier proyecto que dependiera del repositorio vuelva a comenzar a descargar dependencias de él.
“Cuando el propietario de un repositorio cambia su nombre de usuario, se crea un enlace entre el nombre anterior y el nuevo para cualquier persona que descargue dependencias del repositorio anterior”. Los investigadores de Aqua dijeron en un blog esta semana. “Sin embargo, es posible que cualquiera cree el nombre de usuario anterior y rompa este enlace”.
Los investigadores de Aqua decidieron recientemente investigar la prevalencia de repositorios en GitHub que son vulnerables a este tipo de secuestro, o secuestro de repositorio de dependencia, como algunos investigadores de seguridad se refieren a la amenaza.
Problema ampliamente prevalente
Lo que Aqua descubrió fue doble: millones de estos repositorios, incluidos los que pertenecen a empresas como Google y Lyft, están presentes en GitHub; y las herramientas están fácilmente disponibles para que los atacantes encuentren estos repositorios y los secuestren. Una de estas herramientas es GHTorrent, un proyecto que mantiene un registro casi completo de todos los eventos públicos, como confirmaciones y solicitudes de incorporación de cambios, en GitHub. Los atacantes pueden usar GHTorrent para recolectar los nombres de GitHub de los repositorios que la organización usó anteriormente. Luego pueden registrar el repositorio con ese nombre de usuario anterior, recrear el repositorio y entregar malware a cualquier proyecto que lo use.
Cualquier proyecto que haga referencia directa a un repositorio de GitHub es vulnerable si el propietario del repositorio cambia o elimina el nombre de usuario de su repositorio.
“Hemos presentado un conjunto de datos significativo que los atacantes pueden utilizar para recopilar los nombres de repositorios anteriores que pertenecen a organizaciones”, dice Yakir Kadkoda, investigador de seguridad de Aqua Nautilus.
“Las organizaciones no deben asumir que los nombres de sus organizaciones anteriores permanecerán sin revelar”, advierte Kadkoda. "Es crucial para ellos reclamar y mantener sus antiguos nombres de usuario en GitHub y escanear las URL y las referencias de GitHub en su código para identificar cualquier repositorio que un atacante pueda reclamar".
Omitir protecciones
Kadkoda dice que GitHub ha intentado abordar este problema evitando la creación de nombres de usuario y repositorios que antes eran de su propiedad y ahora redirigen a otros proyectos. GitHub también implementado un mecanismo hace varios años para retirar los espacios de nombres de repositorios populares como un medio para mitigar esta amenaza. “Sin embargo, se han descubierto varios desvíos en los últimos años”, dice. Durante el estudio de Aqua, sus investigadores encontraron varios ejemplos de repositorios en los que no se aplicaba la protección implementada por GitHub. “Por lo tanto, los usuarios no pueden confiar completamente en estas defensas en este momento”, dice.
El blog de Aqua señaló una vulnerabilidad de GitHub que Checkmarx descubierto el año pasado como un ejemplo de las formas disponibles para que los atacantes eludan los intentos de GitHub de protegerse contra el secuestro. La falla involucró un mecanismo llamado "retiro del espacio de nombres del repositorio popular" y afectó a todos los nombres de usuario renombrados en GitHub, incluidos más de 10,000 paquetes en administradores de paquetes como Swift, Packagist y Go. "Repojacking es una técnica para secuestrar el tráfico de URL de repositorio renombrado y enrutarlo al repositorio del atacante mediante la explotación de una falla lógica que rompe la redirección original", dijo Checkmarx en un informe sobre la vulnerabilidad. "Un repositorio de GitHub es vulnerable a un nuevo secuestro cuando su creador decidió cambiar el nombre de su nombre de usuario mientras el nombre de usuario anterior está disponible para el registro".
Las organizaciones pueden mitigar su exposición a la amenaza de secuestro escaneando su código, repositorios y dependencias en busca de enlaces de GitHub, dice Kadkoda: "Deberían verificar si esos enlaces se refieren directamente a proyectos de GitHub o si hay redireccionamientos que apuntan a repositorios con otros nombres de usuario o repositorios". nombres que los enlaces originales.” En estos casos, las organizaciones deben intentar reclamar el nombre de usuario disponible para evitar que los atacantes lo hagan. “Además, las organizaciones siempre deben mantener sus antiguos nombres de usuario en GitHub”, dice.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking
- :posee
- :es
- :no
- :dónde
- 000
- 10
- 7
- a
- Adicionalmente
- dirección
- adecuadamente
- de nuevo
- en contra
- .
- Todos
- también
- hacerlo
- an
- y
- Otra
- cualquier
- nadie
- Aplicá
- agua
- somos
- AS
- At
- atacar
- atentado
- Los intentos
- automáticamente
- Hoy Disponibles
- evitar
- BE
- esto
- entre
- Blog
- Descanso
- Ruptura
- rompe
- by
- , que son
- PUEDEN
- no puede
- cadena
- Cambios
- comprobar
- Checkmarx
- reclamo
- afirmó
- código
- Empresas
- completar
- podría
- Para crear
- creado
- crea
- creación
- creador
- crucial
- decidido
- entregamos
- Dependencia
- dependiente
- HIZO
- directamente
- descubierto CRISPR
- do
- "Hacer"
- Descargas
- durante
- pasan fácilmente
- Empresa
- software empresarial
- entidad
- Eventos
- ejemplo
- ejemplos
- Exposición
- falla
- pocos
- Encuentre
- falla
- encontrado
- Desde
- completamente
- obtener
- GitHub
- Go
- Manijas
- cosecha
- Tienen
- he
- secuestrar
- su
- Cómo
- Sin embargo
- HTTPS
- Identifique
- if
- implementado
- in
- Incluye
- investigar
- involucra
- IT
- SUS
- jpg
- Guardar
- Tipo
- Apellidos
- El año pasado
- LINK
- enlaces
- lógico
- lyft
- mantener
- mantiene
- el malware
- Managers
- significa
- mecanismo
- millones
- Mitigar las
- mitigar
- nombre
- nombres
- hace casi
- Nuevo
- recién
- ahora
- of
- Viejo
- on
- una vez
- ONE
- or
- organización
- para las fiestas.
- reconocida por
- Otro
- Más de
- propiedad
- propietario
- propiedad
- paquete
- paquetes
- particular
- pasado
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- punto
- Popular
- posible
- la posibilidad
- presente
- presentó
- frecuente
- evitar
- la prevención
- anterior
- previamente
- proyecto
- proyecta
- proteger
- Protección
- público
- recientemente
- grabar
- reorientar
- referencias
- registrarte
- Registro
- relativamente
- confiar
- permanecer
- reporte
- repositorio
- solicitudes
- investigador
- investigadores
- de jubilación
- reutilizar
- enrutamiento
- s
- Said
- dice
- escanear
- exploración
- EN LINEA
- Varios
- tienes
- importante
- sencillos
- simplemente
- So
- Software
- algo
- comienzo
- ESTUDIO
- tal
- suministro
- cadena de suministro
- SWIFT
- que
- esa
- La
- su
- Les
- luego
- Ahí.
- por lo tanto
- Estas
- ellos
- así
- esta semana
- aquellos
- amenaza
- a
- tráfico
- transferencias
- bajo
- utilizan el
- usado
- Usuario
- usuarios
- usos
- utilizar
- versión
- vulnerabilidad
- Vulnerable
- Advierte
- fue
- formas
- we
- semana
- tuvieron
- cuando
- mientras
- QUIENES
- seguirá
- año
- años
- zephyrnet
