最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- Noveeのセキュリティ研究者たちは、Microsoft、Google、Apache、Cloudflare、およびPython Software Foundationに属するリポジトリ全体にわたって、300を超える悪用可能なCI/CDワークフローチェーンを発見した。.
- これらの欠陥により、GitHub Actionsワークフローファイル間の隙間を通じて、dent情報の盗難、コードの注入、サプライチェーンの侵害が可能になった。.
- 開示された脆弱性はすべて修正済みだが、AIコーディングエージェントは数百万ものリポジトリにわたって同じ安全でないパターンを再現している。.
セキュリティ企業のNoveeは、オープンソースリポジトリ全体に存在する悪用可能なCI/CDの脆弱性のクラスとしてCordycepsを明らかにした。この脆弱性により、攻撃者はdent情報を盗み、悪意のあるコードを配布し、世界最大規模のソフトウェア企業の一部で業務を侵害することが可能になった。.
これらの脆弱性は、マイクロソフト、グーグル、アパッチ、クラウドフレア、およびPythonソフトウェア財団が所有するリポジトリ全体で発見されており、各社は既に修正済みであると主張している。.
冬虫夏草菌の脆弱性とは何ですか?
セキュリティ企業のNoveeは、 CI/CDパイプラインに「コルディセプス」と呼ばれる危険な新たな脆弱性を発見した。「コルディセプス」という名前は、宿主を乗っ取る寄生菌に由来しており、この脆弱性を利用すれば、無料のGitHubアカウントを持つ人なら誰でも、人気のあるオープンソースプロジェクトを制御できてしまう。
これらの脆弱性は、Microsoft、Google、Apache、Cloudflare、およびPython Software Foundationが所有するリポジトリ全体で発見されました。3万のリポジトリを一度スキャンしただけで、完全に悪用可能な攻撃チェーンが300件見つかりました。.
が可能ですdent情報を盗み出し、悪意のあるコードを注入し、 ソフトウェアサプライチェーン 。これらの問題は既に修正されていますが、研究者らは、AIコーディングアシスタントが数百万ものリポジトリでこれらの脆弱性を再現し続ける可能性があると警告しています。
GitHub Actionsのワークフローは、テストの実行、ソフトウェアのビルド、リリースの公開といった重要なタスクを処理しますが、セキュリティ上重要なコードとしてではなく、単なる設定ファイルとして扱われることがよくあります。.
攻撃の連鎖は通常、無料のGitHubアカウントを持つ誰でも可能な外部の人物が、公開リポジトリにプルリクエストを送信したりコメントを残したりすることから始まります。その後、その外部の人物の入力を信頼できるデータとして受け入れる低権限のワークフローが起動されます。.
そこから出力は、管理者権限で実行される2番目のワークフローへと流れます。この2番目のワークフローには、クラウドプロバイダーの認証トークン、パッケージレジストリの認証dent、または署名キーが含まれている可能性があります。そしてこの時点で、攻撃者は有効期限のないトークンを盗むか、リポジトリを永久的に侵害することができます。.
セキュリティ研究者によると、これらの一連のプロセスにおける個々のステップは、それぞれ単独ではセキュリティ監査に合格する可能性がある。脆弱性が明らかになるのは、信頼できないデータがワークフローの引き継ぎプロセス全体にわたってどのように流れたかを trac場合のみである。.
この脆弱性の影響を受けた主要企業はどれですか?
Noveeは、世界最大規模のテクノロジー企業数社において、確認済みの脆弱性を発見し、報告した。.
例えば、MicrosoftのAzure Sentinelには、MicrosoftのCIインフラストラクチャ上で攻撃者のコード実行を誘発し、有効期限のないGitHubアプリキーを盗み出す可能性のあるプルリクエストのコメントが含まれていました。このキーがあれば、Microsoftが顧客のSentinelワークスペースに配布するセキュリティ検出コンテンツへの永続的な書き込みアクセス権が付与されていました。.
9,200以上のGitHubスターを獲得しているGoogleのAIエージェント開発キットのリポジトリに、単一のプルリクエストによって攻撃者が関連するGoogle Cloudプロジェクトで最高レベルの権限(ロール/所有者)を取得できる脆弱性があった。.
ApacheのDoris Analyticsデータベースにおいて、研究者らは2つのゼロクリック攻撃経路を発見した。1つは、任意のプルリクエストにコメントすることでハードコードされたCIdent情報を盗み出すことを可能にするもので、もう1つは、フォークされたプルリクエストによってコード、パッケージ、ページ全体にわたる完全な書き込み権限を持つトークンを盗み出すことを可能にするものだった。.
CloudflareのWorkers SDKは、Wrangler CLIツールチェーンをベースに構築されているが、特別に細工されたブランチ名によって任意のコマンドが実行される脆弱性があった。.
1億3000万回以上ダウンロードされているPythonソフトウェア財団のコードフォーマッター「Black」に、プルリクエストによってプロジェクトの自動化ボットトークンが盗まれ、さらに他のプルリクエストが承認される可能性があるという欠陥があった。.
NoveeはDark Readingに対し、パッチ適用前にこれらのワークフローパターンが悪用されたことは一度もないと確認した。.
Megedは、CISOがCI/CDワークフローファイルを セキュリティ上重要なコード。
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
よくある質問
サイバーセキュリティの文脈において、冬虫夏草とは何でしょうか?
Cordycepsは、Novee SecurityがCI/CDワークフローの脆弱性のクラスに付けた名前で、信頼できない入力(プルリクエストやコメントなど)がGitHub Actionsワークフローファイル間の信頼境界を越えることで、攻撃者が無料のGitHubアカウントだけでdent情報を盗んだり、コードを注入したりできるというものです。.
コルディセプス菌の脆弱性は、パッチが適用される前に悪用されたことがありましたか?
NoveeはDark Readingに対し、開示されたワークフローパターンは修正が適用される前には悪用されておらず、攻撃者が大規模にそのパターンを使用したという証拠もないことを確認した。.
どの組織が冬虫夏草菌の影響を受けたのか?
Noveeは、Microsoft(Azure Sentinel)、Google(AI Agent Development Kit)、Apache(Doris)、Cloudflare(Workers SDK)、およびPython Software Foundation(Black formatter)に属するリポジトリに存在する悪用可能な攻撃チェーンを検証し、これらのリポジトリはすべて既に修正を適用済みです。.
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
ハンナ・コリモア
ハンナは、暗号資産分野で10年近くにわたりブログ執筆やイベントレポートに携わってきたライター兼エディターです。Cryptopolitan Cryptopolitan、ニュースページに記事を寄稿し、 DeFi、RWA、暗号資産規制、AI、最先端技術産業における最新の動向をレポート・分析しています。アーカディア大学で経営学の学位を取得しています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)