Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Microsoft und Google beheben Sicherheitslücken, während sich Cordyceps in Open-Source-Repositories ausbreitet
- Sicherheitsforscher bei Novee entdeckten über 300 ausnutzbare CI/CD-Workflow-Ketten in Repositories von Microsoft, Google, Apache, Cloudflare und der Python Software Foundation.
- Die Schwachstellen ermöglichtendentDiebstahl von Zugangsdaten, das Einschleusen von Schadcode und die Kompromittierung der Lieferkette durch Lücken zwischen den Workflow-Dateien von GitHub Actions.
- Alle aufgedeckten Sicherheitslücken wurden behoben, aber KI-Codierungsagenten reproduzieren dieselben unsicheren Muster in Millionen von Repositories.
Das Sicherheitsunternehmen Novee hat Cordyceps als eine Klasse ausnutzbarer CI/CD-Schwachstellen in Open-Source-Repositories aufgedeckt, die es Angreifern ermöglichten,dentzu stehlen, bösartigen Code einzuschleusen und den Betrieb einiger der weltweit größten Softwareunternehmen zu kompromittieren.
Diese Sicherheitslücken wurden in Repositories von Microsoft, Google, Apache, Cloudflare und der Python Software Foundation gefunden, die laut Angaben der Unternehmen inzwischen behoben wurden.
Worin besteht die Schwachstelle von Cordyceps?
Das Sicherheitsunternehmen Novee hat eine gefährliche neue Klasse von Schwachstellen in CI/CD-Pipelines entdeckt, die es als „Cordyceps“ bezeichnet. Der Name „Cordyceps“ stammt von einem parasitären Pilz, der seinen Wirt übernimmt, da diese Schwachstelle es jedem mit einem kostenlosen GitHub-Konto ermöglicht, die Kontrolle über beliebte Open-Source-Projekte zu erlangen.
Die Schwachstellen wurden in Repositories von Microsoft, Google, Apache, Cloudflare und der Python Software Foundation entdeckt. Ein einziger Scan von 30.000 Repositories deckte 300 vollständig ausnutzbare Angriffsketten auf.
Angreifer könnendent, Schadcode einzuschleusen und Software-Lieferketten . Die Probleme wurden zwar behoben, doch Forscher warnen davor, dass KI-Programmierassistenten sie weiterhin in Millionen von Repositories reproduzieren werden.
GitHub Actions-Workflows übernehmen wichtige Aufgaben wie das Ausführen von Tests, das Erstellen von Software und das Veröffentlichen von Releases, werden aber oft als einfache Konfigurationsdateien und nicht als sicherheitskritischer Code behandelt.
Die Angriffskette beginnt üblicherweise damit, dass ein Außenstehender – im Prinzip jeder mit einem kostenlosen GitHub-Konto – einen Pull Request einreicht oder einen Kommentar in einem öffentlichen Repository hinterlässt. Anschließend wird ein Workflow mit eingeschränkten Berechtigungen aktiviert, der die Eingaben des Außenstehenden wie vertrauenswürdige Daten behandelt.
Von dort fließt die Ausgabe in einen zweiten Workflow, der mit erweiterten Berechtigungen ausgeführt wird. Dieser zweite Workflow kann Authentifizierungstoken von Cloud-Anbietern,dentfür die Paketregistrierung oder Signaturschlüssel enthalten. An diesem Punkt kann der Angreifer entweder nicht ablaufende Token stehlen oder das Repository dauerhaft kompromittieren.
Laut Sicherheitsforschern kann jeder einzelne Schritt dieser Ketten für sich genommen eine Sicherheitsprüfung bestehen. Die Schwachstelle tritt erst zutage, wenn jemand den Weg nicht vertrauenswürdiger Daten durch die gesamte Abfolge der Workflow-Übergaben trac.
Welche großen Unternehmen waren von der Sicherheitslücke betroffen?
Novee hat bestätigte Sicherheitslücken bei einigen der weltweit größten Technologieunternehmen entdeckt und gemeldet.
Beispielsweise enthielt Microsofts Azure Sentinel einen Kommentar in einem Pull Request, der die Ausführung von Angreifercode auf der CI-Infrastruktur von Microsoft auslösen und einen nicht ablaufenden GitHub-App-Schlüssel stehlen konnte. Dieser Schlüssel hätte dauerhaften Schreibzugriff auf Sicherheitserkennungsinhalte gewährt, die Microsoft an Kunden-Sentinel-Arbeitsbereiche verteilt.
Das Repository des AI Agent Development Kit von Google, das über 9.200 GitHub-Sterne hat, wies eine Schwachstelle auf, durch die ein Angreifer mit einem einzigen Pull Request die höchste Berechtigungsstufe (Rollen/Inhaber) für das zugehörige Google Cloud-Projekt erlangen konnte.
In der Doris Analytics-Datenbank von Apache entdeckten Forscher zwei Angriffspfade, die ohne Klicks auskamen. Der eine ermöglichte es, durch einen Kommentar zu einem beliebigen Pull Request fest codierte CI-dentzu stehlen, während der andere es einem abgespaltenen Pull Request erlaubte, ein Token mit vollen Schreibrechten für Code, Pakete und Seiten zu entwenden.
Das auf der Wrangler CLI-Toolchain basierende Workers SDK von Cloudflare war anfällig für die Ausführung beliebiger Befehle, die durch einen speziell präparierten Branch-Namen ausgelöst wurden.
Der Black-Code-Formatter der Python Software Foundation, der über 130 Millionen Mal heruntergeladen wurde, wies einen Fehler auf, der es ermöglichte, dass Pull Requests das Automatisierungs-Bot-Token des Projekts stehlen konnten, welches dann weitere Pull Requests genehmigen konnte.
Novee bestätigte gegenüber Dark Reading, dass keines dieser Workflow-Muster vor dem Einspielen der Patches ausgenutzt wurde.
Meged empfiehlt CISOs, CI/CD-Workflow-Dateien als sicherheitskritischen Code.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Häufig gestellte Fragen
Welche Rolle spielt Cordyceps im Kontext der Cybersicherheit?
Cordyceps ist der Name, den Novee Security einer Klasse von CI/CD-Workflow-Schwachstellen gegeben hat, bei denen nicht vertrauenswürdige Eingaben (wie z. B. eine Pull-Anfrage oder ein Kommentar) die Vertrauensgrenzen zwischen GitHub Actions-Workflow-Dateien überschreiten, wodurch Angreifer mit nichts anderem als einem kostenlosen GitHub-Kontodentstehlen oder Code einschleusen können.
Wurden irgendwelche Sicherheitslücken in Cordyceps ausgenutzt, bevor sie behoben wurden?
Novee bestätigte gegenüber Dark Reading, dass die offengelegten Workflow-Muster vor der Anwendung der Korrekturen nicht ausgenutzt wurden und es keine Hinweise darauf gibt, dass ein Angreifer das Muster in großem Umfang verwendet hat.
Welche Organisationen waren von Cordyceps betroffen?
Novee bestätigte ausnutzbare Angriffsketten in Repositories von Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) und der Python Software Foundation (Black Formatter), die alle inzwischen Korrekturen vorgenommen haben.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)