Les meilleures analyses crypto directement dans votre boîte mail.
Microsoft et Google corrigent des failles de sécurité alors que le Cordyceps se propage dans les dépôts open-source
- Des chercheurs en sécurité chez Novee ont découvert plus de 300 chaînes de flux de travail CI/CD exploitables dans des dépôts appartenant à Microsoft, Google, Apache, Cloudflare et la Python Software Foundation.
- Ces failles ont permis le vol d'dent, l'injection de code et la compromission de la chaîne d'approvisionnement grâce à des lacunes entre les fichiers de flux de travail de GitHub Actions.
- Toutes les vulnérabilités divulguées ont été corrigées, mais les agents de codage IA reproduisent les mêmes schémas non sécurisés dans des millions de référentiels.
La société de sécurité Novee a révélé que Cordyceps est une classe de vulnérabilités CI/CD exploitables dans les dépôts open-source qui ont permis aux attaquants de voler desdent, de diffuser du code malveillant et de compromettre les opérations de certaines des plus grandes organisations de logiciels au monde.
Ces vulnérabilités ont été découvertes dans des dépôts appartenant à Microsoft, Google, Apache, Cloudflare et la Python Software Foundation, entreprises qui ont également affirmé les avoir corrigées.
Quelle est la vulnérabilité du Cordyceps ?
La société de sécurité Novee a découvert une nouvelle classe de vulnérabilités dangereuses dans les pipelines CI/CD qu'elle appelle « Cordyceps ». Le nom «Cordyceps» provient d'un champignon parasite qui prend le contrôle de son hôte, car cette faille permet à toute personne possédant un compte GitHub gratuit de prendre le contrôle de projets open-source populaires.
Les vulnérabilités ont été découvertes dans des dépôts appartenant à Microsoft, Google, Apache, Cloudflare et la Python Software Foundation. Une seule analyse de 30 000 dépôts a révélé 300 chaînes d'attaque entièrement exploitables.
permettent aux attaquants de volerdent, d'injecter du code malveillant et de compromettre les chaînes d'approvisionnement logicielles . Bien que ces problèmes aient été corrigés, les chercheurs préviennent que les assistants de programmation IA continueront de les reproduire dans des millions de dépôts.
Les workflows GitHub Actions gèrent des tâches importantes comme l'exécution de tests, la compilation de logiciels et la publication de versions, mais ils sont souvent traités comme de simples fichiers de configuration plutôt que comme du code critique pour la sécurité.
La chaîne d'attaque débute généralement lorsqu'un utilisateur extérieur, c'est-à-dire toute personne possédant un compte GitHub gratuit, soumet une demande de fusion ou laisse un commentaire sur un dépôt public. Un processus aux privilèges limités, acceptant les données saisies par cet utilisateur comme s'il s'agissait de données fiables, est alors activé.
De là, les données sont acheminées vers un second flux de travail exécuté avec des privilèges élevés. Ce second flux peut contenir des jetons d'authentification de fournisseur de cloud, desdentde registre de paquets ou des clés de signature. À ce stade, l'attaquant peut soit dérober des jetons non périmés, soit compromettre définitivement le dépôt.
D'après les chercheurs en sécurité, chaque étape de ces chaînes peut, prise individuellement, passer un audit de sécurité. La vulnérabilité n'apparaît que lorsqu'on tracle parcours de données non fiables tout au long de la séquence des transferts de flux de travail.
Quelles grandes entreprises ont été touchées par cette vulnérabilité ?
Novee a découvert et signalé des vulnérabilités confirmées chez certaines des plus grandes organisations technologiques du monde.
Par exemple, Azure Sentinel de Microsoft contenait un commentaire de requête d'extraction susceptible de déclencher l'exécution de code malveillant sur l'infrastructure d'intégration continue de Microsoft et de dérober une clé d'application GitHub non expirée. Cette clé aurait permis un accès en écriture permanent au contenu de détection de sécurité que Microsoft distribue aux espaces de travail Sentinel de ses clients.
Le dépôt du kit de développement d'agents IA de Google, qui comptait plus de 9 200 étoiles sur GitHub, présentait une faille dans laquelle une simple demande d'extraction pouvait permettre à un attaquant d'obtenir le niveau d'autorisation le plus élevé (rôles/propriétaire) sur le projet Google Cloud associé.
Dans la base de données Doris Analytics d'Apache, des chercheurs ont découvert deux failles de sécurité permettant une attaque sans clic. L'une permettait de dérober des identifiants d'dentcontinue codés en dur via un commentaire sur n'importe quelle demande de fusion, tandis que l'autre permettait à une demande de fusion dupliquée de voler un jeton disposant de droits d'écriture complets sur le code, les packages et les pages.
Le kit de développement logiciel (SDK) Workers de Cloudflare, construit autour de la chaîne d'outils Wrangler CLI, était vulnérable à l'exécution de commandes arbitraires déclenchée par un nom de branche spécialement conçu.
Le formateur de code Black de la Python Software Foundation, qui compte plus de 130 millions de téléchargements, présentait une faille permettant à toute demande d'extraction de voler le jeton du bot d'automatisation du projet, qui pouvait ensuite approuver d'autres demandes d'extraction.
Novee a confirmé à Dark Reading qu'aucun de ces schémas de flux de travail n'avait été exploité avant l'application des correctifs.
Meged recommande aux RSSI de traiter les fichiers de flux de travail CI/CD comme du code critique pour la sécurité.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu’est-ce que le Cordyceps dans le contexte de la cybersécurité ?
Cordyceps est le nom donné par Novee Security à une classe de vulnérabilités des flux de travail CI/CD où une entrée non fiable (telle qu'une demande d'extraction ou un commentaire) franchit les limites de confiance entre les fichiers de flux de travail GitHub Actions, permettant aux attaquants de voler desdentou d'injecter du code en utilisant simplement un compte GitHub gratuit.
Certaines vulnérabilités liées au Cordyceps ont-elles été exploitées avant d'être corrigées ?
Novee a confirmé à Dark Reading que les schémas de flux de travail divulgués n'avaient pas été exploités avant l'application des correctifs, et qu'il n'y avait aucune preuve qu'un attaquant ait utilisé ce schéma à grande échelle.
Quelles organisations ont été touchées par le Cordyceps ?
Novee a validé des chaînes d'attaque exploitables dans des dépôts appartenant à Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) et la Python Software Foundation (Black formatter), qui ont tous depuis appliqué des correctifs.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)