Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Microsoft e Google correggono le vulnerabilità mentre Cordyceps si diffonde nei repository open-source
- I ricercatori di sicurezza di Novee hanno scoperto oltre 300 catene di flussi di lavoro CI/CD sfruttabili in repository appartenenti a Microsoft, Google, Apache, Cloudflare e alla Python Software Foundation.
- Le falle hanno consentito il furtodent, l'iniezione di codice e la compromissione della catena di fornitura attraverso le lacune nei file del flusso di lavoro di GitHub Actions.
- Tutte le vulnerabilità divulgate sono state corrette, ma gli agenti di programmazione basati sull'IA stanno riproducendo gli stessi schemi di insicurezza in milioni di repository.
L'azienda di sicurezza Novee ha rivelato Cordyceps come una classe di vulnerabilità CI/CD sfruttabili nei repository open source che hanno permesso agli aggressori di rubaredent, diffondere codice dannoso e compromettere le operazioni di alcune delle più grandi aziende di software al mondo.
Queste vulnerabilità sono state riscontrate nei repository di Microsoft, Google, Apache, Cloudflare e della Python Software Foundation, e le aziende in questione hanno dichiarato di averle risolte.
Qual è la vulnerabilità del Cordyceps?
L'azienda di sicurezza Novee ha scoperto una nuova e pericolosa classe di vulnerabilità nelle pipeline CI/CD, denominata "Cordyceps". Il nome "Cordyceps" deriva da un fungo parassita che prende il controllo del suo ospite, poiché questa falla consente a chiunque disponga di un account GitHub gratuito di assumere il controllo di popolari progetti open source.
Le vulnerabilità sono state scoperte in repository appartenenti a Microsoft, Google, Apache, Cloudflare e alla Python Software Foundation. Una singola scansione di 30.000 repository ha rivelato 300 catene di attacco completamente sfruttabili.
, gli aggressori sono in grado di rubaredent, iniettare codice dannoso e compromettere le catene di fornitura del software . I problemi sono stati risolti, ma i ricercatori avvertono che gli assistenti di programmazione basati sull'intelligenza artificiale continueranno a riprodurli in milioni di repository.
I flussi di lavoro di GitHub Actions gestiscono attività importanti come l'esecuzione di test, la compilazione di software e la pubblicazione di release, ma spesso vengono trattati come semplici file di configurazione anziché come codice critico per la sicurezza.
La catena di attacco di solito inizia quando un utente esterno, che può essere chiunque abbia un account GitHub gratuito, invia una pull request o lascia un commento su un repository pubblico. A quel punto si attiva un flusso di lavoro con privilegi limitati che accetta l'input dell'utente esterno come se fosse un dato attendibile.
Da lì, l'output confluisce in un secondo flusso di lavoro che viene eseguito con privilegi elevati. Questo secondo flusso di lavoro potrebbe contenere token di autenticazione del provider cloud,dentdel registro dei pacchetti o chiavi di firma. A questo punto, l'attaccante può rubare token non soggetti a scadenza o compromettere in modo permanente il repository.
Secondo i ricercatori di sicurezza, ogni singolo passaggio di queste catene può superare un audit di sicurezza di per sé. La vulnerabilità emerge solo quando qualcuno tracil percorso dei dati non attendibili lungo l'intera sequenza di passaggi del flusso di lavoro.
Quali grandi aziende sono state colpite dalla vulnerabilità?
Novee ha individuato e segnalato vulnerabilità confermate in alcune delle più grandi organizzazioni tecnologiche del mondo.
Ad esempio, Azure Sentinel di Microsoft conteneva un commento in una pull request che avrebbe potuto attivare l'esecuzione di codice malevolo sull'infrastruttura CI di Microsoft e rubare una chiave GitHub App senza scadenza. Questa chiave avrebbe garantito l'accesso in scrittura permanente ai contenuti di rilevamento della sicurezza che Microsoft distribuisce agli spazi di lavoro Sentinel dei clienti.
Il repository AI Agent Development Kit di Google, con oltre 9.200 stelle su GitHub, presentava una vulnerabilità che permetteva a un utente malintenzionato di ottenere il livello di autorizzazione più elevato (ruoli/proprietario) sul progetto Google Cloud associato tramite una singola pull request.
Nel database Doris Analytics di Apache, i ricercatori hanno scoperto due percorsi di attacco a zero clic. Uno permetteva di rubare ledentCI hardcoded tramite un commento su qualsiasi pull request, mentre l'altro consentiva a una pull request derivata di rubare un token con permessi di scrittura completi su codice, pacchetti e pagine.
L'SDK Workers di Cloudflare, basato sulla toolchain Wrangler CLI, era vulnerabile all'esecuzione arbitraria di comandi attivata da un nome di ramo appositamente creato.
Il formattatore di codice Black della Python Software Foundation, che conta oltre 130 milioni di download, presentava una vulnerabilità per cui qualsiasi pull request poteva rubare il token del bot di automazione del progetto, il quale poteva poi approvare ulteriori pull request.
Novee ha confermato a Dark Reading che nessuno di questi schemi di flusso di lavoro è stato sfruttato prima dell'applicazione delle patch.
Meged raccomanda ai CISO di trattare i file del flusso di lavoro CI/CD come codice critico per la sicurezza.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Domande frequenti
Che ruolo riveste il Cordyceps nel contesto della sicurezza informatica?
Cordyceps è il nome che Novee Security ha dato a una classe di vulnerabilità del flusso di lavoro CI/CD in cui input non attendibili (come una pull request o un commento) oltrepassano i confini di attendibilità tra i file del flusso di lavoro di GitHub Actions, consentendo agli aggressori di rubare ledento iniettare codice utilizzando nient'altro che un account GitHub gratuito.
Alcune vulnerabilità del Cordyceps sono state sfruttate prima che venissero corrette?
Novee ha confermato a Dark Reading che gli schemi di flusso di lavoro rivelati non sono stati sfruttati prima dell'applicazione delle correzioni e non ci sono prove che alcun aggressore abbia utilizzato tale schema su larga scala.
Quali organizzazioni sono state colpite dal Cordyceps?
Novee ha convalidato catene di attacchi sfruttabili in repository appartenenti a Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) e Python Software Foundation (Black formatter), che da allora hanno tutti applicato delle correzioni.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Hannah Collymore
Hannah è una scrittrice e redattrice con quasi dieci anni di esperienza nella scrittura di blog e nella cronaca di eventi nel settore delle criptovalute. Collabora con Cryptopolitan, occupandosi della pagina notizie e analizzando gli ultimi sviluppi in ambito DeFi, RWA, regolamentazione delle criptovalute, intelligenza artificiale e tecnologie all'avanguardia. Si è laureata in Economia aziendale presso l'Università di Arcadia.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)