Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
Microsoft y Google corrigen fallos de seguridad mientras el Cordyceps se propaga por repositorios de código abierto
- Investigadores de seguridad de Novee descubrieron más de 300 cadenas de flujo de trabajo de CI/CD vulnerables en repositorios pertenecientes a Microsoft, Google, Apache, Cloudflare y la Python Software Foundation.
- Estas vulnerabilidades permitieron el robodent, la inyección de código y la vulneración de la cadena de suministro a través de brechas entre los archivos de flujo de trabajo de GitHub Actions.
- Todas las vulnerabilidades detectadas han sido corregidas, pero los agentes de codificación de IA están reproduciendo los mismos patrones inseguros en millones de repositorios.
La empresa de seguridad Novee ha revelado que Cordyceps es una clase de vulnerabilidades de CI/CD explotables en repositorios de código abierto que permitieron a los atacantes robardent, insertar código malicioso y comprometer las operaciones de algunas de las organizaciones de software más grandes del mundo.
Estas vulnerabilidades se han encontrado en repositorios pertenecientes a Microsoft, Google, Apache, Cloudflare y la Python Software Foundation, empresas que afirman haberlas solucionado.
¿Cuál es la vulnerabilidad al Cordyceps?
La empresa de seguridad Novee ha descubierto una nueva y peligrosa clase de vulnerabilidades en las canalizaciones de CI/CD a la que denomina "Cordyceps". El nombre "Cordyceps" proviene de un hongo parásito que se apodera de su huésped, ya que esta falla permite que cualquier persona con una cuenta gratuita de GitHub tome el control de proyectos populares de código abierto.
Las vulnerabilidades se descubrieron en repositorios pertenecientes a Microsoft, Google, Apache, Cloudflare y la Python Software Foundation. Un único análisis de 30 000 repositorios reveló 300 cadenas de ataque totalmente explotables.
Los atacantes pueden robardent, inyectar código malicioso y comprometer las cadenas de suministro de software a través de estas vulnerabilidades. Si bien los problemas se han solucionado, los investigadores advierten que los asistentes de codificación de IA seguirán reproduciéndolos en millones de repositorios.
Los flujos de trabajo de GitHub Actions gestionan tareas importantes como la ejecución de pruebas, la compilación de software y la publicación de versiones, pero a menudo se tratan como simples archivos de configuración en lugar de como código crítico para la seguridad.
La cadena de ataque suele comenzar cuando un usuario externo, que puede ser cualquiera con una cuenta gratuita de GitHub, envía una solicitud de extracción o deja un comentario en un repositorio público. A continuación, se activa un flujo de trabajo con privilegios limitados que acepta la información del usuario externo como si fuera información confiable.
A partir de ahí, la salida fluye hacia un segundo flujo de trabajo que se ejecuta con permisos elevados. Este segundo flujo de trabajo puede contener tokens de autenticación del proveedor de la nube,dentdel registro de paquetes o claves de firma. En este punto, el atacante puede robar tokens que no caducan o comprometer permanentemente el repositorio.
Según los investigadores de seguridad, cada paso individual de estas cadenas puede superar una auditoría de seguridad por sí solo. La vulnerabilidad solo aparece cuando alguien tracla ruta de los datos no confiables a lo largo de toda la secuencia de transferencias del flujo de trabajo.
¿Qué grandes empresas se vieron afectadas por la vulnerabilidad?
Novee descubrió y reportó vulnerabilidades confirmadas en algunas de las organizaciones tecnológicas más grandes del mundo.
Por ejemplo, Azure Sentinel de Microsoft contenía un comentario en una solicitud de extracción que podía activar la ejecución de código malicioso en la infraestructura de integración continua de Microsoft y robar una clave de aplicación de GitHub sin fecha de caducidad. Esta clave habría otorgado acceso de escritura permanente al contenido de detección de seguridad que Microsoft distribuye a los espacios de trabajo de Sentinel de sus clientes.
El repositorio del Kit de Desarrollo de Agentes de IA de Google, con más de 9200 estrellas en GitHub, tenía una vulnerabilidad que permitía a un atacante obtener el nivel de permisos más alto (roles/propietario) en el proyecto de Google Cloud asociado mediante una única solicitud de extracción.
En la base de datos Doris Analytics de Apache, los investigadores encontraron dos rutas de ataque sin clics. Una permitía que un comentario en cualquier solicitud de extracción robaradentde CI codificadas, mientras que la otra permitía que una solicitud de extracción bifurcada robara un token con permisos de escritura completos en el código, los paquetes y las páginas.
El SDK Workers de Cloudflare, basado en el conjunto de herramientas de línea de comandos Wrangler, era vulnerable a la ejecución arbitraria de comandos activada por un nombre de rama especialmente diseñado.
El formateador de código Black de la Python Software Foundation, que cuenta con más de 130 millones de descargas, tenía un fallo que permitía a cualquier solicitud de extracción robar el token del bot de automatización del proyecto, lo que a su vez permitía aprobar solicitudes de extracción adicionales.
Novee confirmó a Dark Reading que ninguno de estos patrones de flujo de trabajo fue explotado antes de que se aplicaran los parches.
Meged recomienda que los CISO traten los archivos de flujo de trabajo de CI/CD como código crítico para la seguridad.
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Preguntas frecuentes
¿Qué papel desempeña el Cordyceps en el contexto de la ciberseguridad?
Cordyceps es el nombre que Novee Security le dio a una clase de vulnerabilidades en los flujos de trabajo de CI/CD donde la entrada no confiable (como una solicitud de extracción o un comentario) cruza los límites de confianza entre los archivos del flujo de trabajo de GitHub Actions, lo que permite a los atacantes robardento inyectar código utilizando nada más que una cuenta gratuita de GitHub.
¿Se explotó alguna de las vulnerabilidades de Cordyceps antes de que se corrigieran?
Novee confirmó a Dark Reading que los patrones de flujo de trabajo revelados no fueron explotados antes de que se aplicaran las correcciones, y no hay evidencia de que ningún atacante haya utilizado el patrón a gran escala.
¿Qué organizaciones se vieron afectadas por el Cordyceps?
Novee validó cadenas de ataque explotables en repositorios pertenecientes a Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) y la Python Software Foundation (Black formatter), todos los cuales ya han aplicado correcciones.
Aviso legal. La información proporcionada no constituye asesoramiento comercial. Cryptopolitanconsultar no se responsabiliza de las inversiones realizadas con base en la información proporcionada en esta página. Recomendamostronencarecidamente realizar una investigación independientedent un profesional cualificado antes de tomar cualquier decisión de inversión.
Hannah Collymore
Hannah es escritora y editora con casi una década de experiencia en redacción de blogs y reportajes sobre eventos en el ámbito de las criptomonedas. En Cryptopolitan, colabora en la sección de noticias, informando y analizando las últimas novedades en DeFi, RWA, regulación de criptomonedas, IA y tecnologías de vanguardia. Se graduó en Administración de Empresas por la Universidad de Arcadia.
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)