مايكروسوفت وجوجل تُصلحان الثغرات الأمنية مع انتشار فطر الكورديسيبس في مستودعات البرامج مفتوحة المصدر

كشفت شركة الأمن Novee عن Cordyceps كفئة من الثغرات الأمنية القابلة للاستغلال في عمليات التكامل المستمر/التسليم المستمر (CI/CD) عبر مستودعات المصادر المفتوحة، مما سمح للمهاجمين بسرقة بياناتdent، ودفع التعليمات البرمجية الضارة، واختراق العمليات في بعض أكبر مؤسسات البرمجيات في العالم.

تم العثور على هذه الثغرات الأمنية في مستودعات تابعة لشركات مايكروسوفت وجوجل وأباتشي وكلاود فلير ومؤسسة برمجيات بايثون، والتي ادعت الشركات أيضًا أنها قامت بإصلاحها. 

ما هي نقطة ضعف فطر الكورديسيبس؟ 

كشفت شركة الأمن "نوفي" عن فئة جديدة خطيرة من الثغرات الأمنية في خطوط أنابيب التكامل المستمر/التسليم المستمر (CI/CD) والتي تشير إليها باسم "كورديسيبس". ويأتي اسم "كورديسيبس" من فطر طفيلي يستولي على مضيفه، حيث يسمح هذا الخلل لأي شخص لديه حساب مجاني على GitHub بالسيطرة على مشاريع مفتوحة المصدر شائعة. 

تم اكتشاف الثغرات الأمنية في مستودعات تابعة لشركات مايكروسوفت، وجوجل، وأباتشي، وكلاود فلير، ومؤسسة برمجيات بايثون. وكشف مسح واحد لـ 30 ألف مستودع عن 300 سلسلة هجوم قابلة للاستغلال بالكامل. 

يستطيع المهاجمون سرقةdent، وحقن برمجيات خبيثة، واختراق سلاسل توريد البرمجيات عبر هذه الثغرات الأمنية. وقد تم إصلاح هذه المشكلات، لكن الباحثين يحذرون من أن مساعدي البرمجة المدعومين بالذكاء الاصطناعي سيستمرون في استغلالها عبر ملايين المستودعات. 

تتولى سير عمل GitHub Actions مهامًا مهمة مثل تشغيل الاختبارات وبناء البرامج ونشر الإصدارات، ولكن غالبًا ما يتم التعامل معها كملفات تكوين بسيطة بدلاً من كونها رمزًا حرجًا من الناحية الأمنية. 

تبدأ سلسلة الهجوم عادةً عندما يقوم شخص خارجي، قد يكون أي شخص لديه حساب مجاني على GitHub، بإرسال طلب سحب أو ترك تعليق على مستودع عام. ثم يتم تفعيل آلية عمل ذات صلاحيات محدودة تقبل مدخلات هذا الشخص الخارجي كما لو كانت بيانات موثوقة.

ومن هناك، تنتقل المخرجات إلى مسار عمل ثانٍ يعمل بصلاحيات موسعة. قد يحتوي مسار العمل الثاني هذا على رموز مصادقة موفر الخدمة السحابية، أو بياناتdentسجل الحزم، أو مفاتيح التوقيع. وعند هذه النقطة، يستطيع المهاجم إما سرقة الرموز غير المنتهية الصلاحية أو اختراق المستودع بشكل دائم. 

بحسب باحثي الأمن، يمكن لكل خطوة في هذه السلاسل أن تجتاز التدقيق الأمني ​​بمفردها. ولا تظهر الثغرة الأمنية إلا عند tracمسار البيانات غير الموثوقة عبر كامل سلسلة عمليات نقل سير العمل. 

ما هي الشركات الكبرى التي تأثرت بهذا الخلل؟

عثرت شركة نوفي على ثغرات أمنية مؤكدة في بعض أكبر المؤسسات التكنولوجية في العالم، وقامت بالإبلاغ عنها. 

على سبيل المثال، احتوى Azure Sentinel من مايكروسوفت على تعليق في طلب سحب يسمح للمهاجم بتنفيذ تعليمات برمجية على بنية التكامل المستمر (CI) الخاصة بمايكروسوفت، وسرقة مفتاح تطبيق GitHub غير منتهي الصلاحية. كان هذا المفتاح سيمنح حق الوصول الدائم للكتابة إلى محتوى الكشف الأمني ​​الذي توزعه مايكروسوفت على مساحات عمل Sentinel الخاصة بالعملاء.

كان مستودع مجموعة أدوات تطوير وكلاء الذكاء الاصطناعي من جوجل، والذي يحتوي على أكثر من 9200 نجمة على GitHub، يعاني من خلل يسمح للمهاجم بالحصول على أعلى مستوى من الأذونات (الأدوار/المالك) في مشروع جوجل كلاود المرتبط به. 

في قاعدة بيانات دوريس أناليتكس التابعة لأباتشي، وجد الباحثون مسارين للهجوم بدون نقر. يسمح أحدهما بتعليق على أي طلب سحبdentبيانات اعتماد التكامل المستمر المضمنة في الكود، بينما يسمح الآخر لطلب سحب متفرع بسرقة رمز مميز بصلاحيات كتابة كاملة عبر الكود والحزم والصفحات. 

كانت حزمة تطوير البرامج Workers SDK الخاصة بشركة Cloudflare، والتي تم بناؤها حول سلسلة أدوات Wrangler CLI، عرضة لتنفيذ أوامر عشوائية يتم تشغيلها بواسطة اسم فرع مصمم خصيصًا. 

كان لدى برنامج تنسيق التعليمات البرمجية Black التابع لمؤسسة برمجيات بايثون، والذي تم تنزيله أكثر من 130 مليون مرة، خلل حيث يمكن لأي طلب سحب أن يسرق رمز بوت التشغيل الآلي للمشروع، والذي يمكنه بعد ذلك الموافقة على طلبات السحب الأخرى.

أكد نوفي لموقع دارك ريدينغ أنه لم يتم استغلال أي من أنماط سير العمل هذه قبل تطبيق التصحيحات. 

يوصي ميغيد بأن يتعامل مسؤولو أمن المعلومات مع ملفات سير عمل التكامل المستمر/التسليم المستمر باعتبارها شفرة بالغة الأهمية من الناحية الأمنية.