A GitHubon több millió vállalati szoftvertároló sebezhető repocolás, egy viszonylag egyszerű fajta szoftver-ellátási lánc támadás, ahol a fenyegetés szereplője az adott repótól függő projekteket egy rosszindulatú projektre irányítja át.
A probléma azzal kapcsolatos, hogy a GitHub hogyan kezeli a függőségeket, amikor egy GitHub-felhasználó vagy -szervezet megváltoztatja egy projekt nevét, vagy átruházza a tulajdonjogát egy másik entitásra – közölték az Aqua Security kutatói egy e heti jelentésben.
Névváltoztatási kockázatok
A kódfüggőségek feltörésének elkerülése érdekében a GitHub kapcsolatot hoz létre az eredeti tárhelynév és az új között, így minden, az eredeti repótól függő projekt automatikusan át lesz irányítva az újonnan átnevezettre. Ha azonban egy szervezet nem tudja megfelelően védeni a régi felhasználónevet, a támadó egyszerűen újra felhasználhatja azt az eredeti tárhely trójai változatának létrehozásához, így minden projekt, amely a repóra támaszkodott, ismét elkezdi letölteni a függőségeket róla.
"Amikor egy tártulajdonos megváltoztatja a felhasználónevét, kapcsolat jön létre a régi név és az új név között mindenki számára, aki letölti a függőségeket a régi adattárból." Az Aqua kutatói szerint egy blogban ezen a héten. "Azonban bárki létrehozhatja a régi felhasználónevet, és megszakíthatja ezt a linket."
Az Aqua kutatói a közelmúltban úgy döntöttek, hogy megvizsgálják a GitHubon található adattárak elterjedtségét, amelyek ki vannak téve az ilyen repojacking-nek vagy függőségi adattár-eltérítésnek, mivel egyes biztonsági kutatók a fenyegetésre hivatkoznak.
Széles körben elterjedt probléma
Amit az Aqua fedezett fel, az kettős: milliónyi ilyen adattár – köztük olyan cégekhez tartozókat, mint a Google és a Lyft – található a GitHubon; és eszközök könnyen elérhetők a támadók számára, hogy megtalálják ezeket a repókat és eltérítsék őket. Az egyik ilyen eszköz a GHTorrent, egy olyan projekt, amely szinte teljes nyilvántartást vezet az összes nyilvános eseményről, például a véglegesítésekről és a lehívási kérésekről a GitHubon. A támadók a GHTorrent segítségével begyűjthetik a szervezet által korábban használt adattárak GitHub-neveit. Ezután regisztrálhatják a tárat a régi felhasználónév alatt, újra létrehozhatják a tárolót, és rosszindulatú programokat juttathatnak el bármely projekthez, amely azt használja.
Minden olyan projekt, amely közvetlenül hivatkozik egy GitHub-lerakatra, sebezhetővé válik, ha a lerakat tulajdonosa megváltoztatja vagy törli a lerakat felhasználónevét.
„Jelentős adatkészletet mutattunk be, amelyet a támadók felhasználhatnak a szervezetekhez tartozó korábbi adattárak nevének begyűjtésére” – mondja Yakir Kadkoda, az Aqua Nautilus biztonsági kutatója.
„A szervezeteknek nem szabad azt feltételezniük, hogy régi szervezeti nevük nyilvánosságra kerül” – figyelmeztet Kadkoda. „Létfontosságú számukra, hogy igényeljék és megtartsák régi felhasználóneveiket a GitHubon, és átvizsgálják a GitHub URL-eket és a kódjukban található hivatkozásokat, hogy azonosítsák azokat a tárhelyeket, amelyekre a támadók igényt tarthatnak.”
A védelmek megkerülése
A Kadkoda szerint a GitHub megpróbálta megoldani ezt a problémát azáltal, hogy megakadályozta a korábban birtokolt felhasználónevek és adattárak létrehozását, amelyek most más projektekhez irányítanak át. GitHub is mechanizmust valósított meg néhány évvel ezelőtt megszüntette a népszerű adattár-névtereket a veszély mérséklése érdekében. „Az elmúlt néhány évben azonban számos elkerülő utat fedeztek fel” – mondja. Az Aqua vizsgálata során a kutatók több példát is találtak olyan tárolókra, ahol a GitHub által megvalósított védelem nem érvényesült. „Ezért a felhasználók jelenleg nem támaszkodhatnak teljes mértékben ezekre a védelemre” – mondja.
Aqua blogja rámutatott a GitHub biztonsági résére, amely Checkmarx tavaly fedezte fel mint egy példa a támadók rendelkezésére álló módokra, amelyekkel megkerülhetik a GitHub visszatámadás elleni védekezési kísérleteit. A hiba a „népszerű tárhely névterének megszüntetésének” nevű mechanizmusát érintette, és a GitHubon lévő összes átnevezett felhasználónevet érintette, beleértve a több mint 10,000 XNUMX csomagkezelő csomagot, mint például a Swift, a Packagist és a Go. "A repojacking egy olyan technika, amellyel eltérítik az átnevezett adattár URL-ek forgalmát, és a támadó tárhelyére irányítják egy logikai hiba kihasználásával, amely megszakítja az eredeti átirányítást" - mondta Checkmarx a biztonsági résről szóló jelentésében. "Egy GitHub adattár ki van téve az újbóli áttörésnek, amikor az alkotója úgy döntött, hogy átnevezi a felhasználónevét, miközben a régi felhasználónév elérhető a regisztrációhoz."
A szervezetek csökkenthetik a repojacking fenyegetésnek való kitettségüket azáltal, hogy átkutatják kódjukat, adattáraikat és függőségeit GitHub-hivatkozások után. nevek, mint az eredeti linkek." Ezekben az esetekben a szervezeteknek meg kell kísérelniük a rendelkezésre álló felhasználónév igénylését, hogy megakadályozzák a támadókat. „Emellett a szervezeteknek mindig meg kell őrizniük régi felhasználóneveiket a GitHubon” – mondja.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/application-security/millions-of-repos-on-github-are-potentially-vulnerable-to-hijacking
- :van
- :is
- :nem
- :ahol
- 000
- 10
- 7
- a
- Ezen kívül
- cím
- megfelelő
- újra
- ellen
- Augusztus
- Minden termék
- Is
- mindig
- an
- és a
- Másik
- bármilyen
- bárki
- alkalmaz
- aqua
- VANNAK
- AS
- At
- támadás
- megkísérelt
- Kísérletek
- automatikusan
- elérhető
- elkerülése érdekében
- BE
- óta
- között
- Blog
- szünet
- Törés
- szünetek
- by
- hívott
- TUD
- nem tud
- lánc
- Változások
- ellenőrizze
- pipa
- követelés
- azt állította,
- kód
- Companies
- teljes
- tudott
- teremt
- készítette
- teremt
- teremtés
- Teremtő
- kritikus
- határozott
- szállít
- Függőség
- függő
- DID
- közvetlenül
- felfedezett
- do
- Ennek
- letöltések
- alatt
- könnyen
- Vállalkozás
- vállalati szoftver
- egység
- események
- példa
- példák
- Exponálás
- nem sikerül
- kevés
- Találjon
- hibája
- A
- talált
- ból ből
- teljesen
- kap
- GitHub
- Go
- Fogantyúk
- aratás
- Legyen
- he
- eltérít
- övé
- Hogyan
- azonban
- HTTPS
- azonosítani
- if
- végre
- in
- Beleértve
- helyette
- vizsgálja
- részt
- kérdés
- IT
- ITS
- jpg
- Tart
- Kedves
- keresztnév
- Tavaly
- LINK
- linkek
- logikus
- Lyft
- fenntartása
- fenntartja
- malware
- Menedzserek
- eszközök
- mechanizmus
- Több millió
- Enyhít
- enyhítő
- név
- nevek
- közel
- Új
- újonnan
- Most
- of
- Régi
- on
- egyszer
- ONE
- or
- szervezet
- szervezetek
- eredeti
- Más
- felett
- tulajdonú
- tulajdonos
- tulajdon
- csomag
- csomagok
- különös
- múlt
- Plató
- Platón adatintelligencia
- PlatoData
- pont
- Népszerű
- lehetséges
- potenciálisan
- be
- bemutatott
- uralkodó
- megakadályozása
- megakadályozása
- előző
- korábban
- program
- projektek
- védelme
- védelem
- nyilvános
- nemrég
- rekord
- átirányítás
- referenciák
- Regisztráció
- Bejegyzés
- viszonylag
- támaszkodnak
- marad
- jelentést
- raktár
- kéri
- kutató
- kutatók
- nyugdíjazás
- újra
- routing
- s
- Mondott
- azt mondja,
- beolvasás
- letapogatás
- biztonság
- számos
- kellene
- jelentős
- Egyszerű
- egyszerűen
- So
- szoftver
- néhány
- kezdet
- Tanulmány
- ilyen
- kínálat
- ellátási lánc
- SWIFT
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- ebből adódóan
- Ezek
- ők
- ezt
- ezen a héten
- azok
- fenyegetés
- nak nek
- szerszámok
- forgalom
- transzferek
- alatt
- használ
- használt
- használó
- Felhasználók
- használ
- hasznosít
- változat
- sebezhetőség
- Sebezhető
- figyelmeztet
- volt
- módon
- we
- hét
- voltak
- amikor
- míg
- WHO
- lesz
- val vel
- év
- év
- zephyrnet
