As melhores informações sobre criptomoedas direto na sua caixa de entrada.
Microsoft e Google corrigem falhas à medida que o Cordyceps se espalha por repositórios de código aberto
- Pesquisadores de segurança da Novee encontraram mais de 300 cadeias de fluxo de trabalho CI/CD exploráveis em repositórios pertencentes à Microsoft, Google, Apache, Cloudflare e à Python Software Foundation.
- As falhas permitiram roubodent, injeção de código e comprometimento da cadeia de suprimentos por meio de lacunas entre os arquivos de fluxo de trabalho do GitHub Actions.
- Todas as vulnerabilidades divulgadas foram corrigidas, mas os agentes de codificação de IA estão reproduzindo os mesmos padrões inseguros em milhões de repositórios.
A empresa de segurança Novee revelou que o Cordyceps é uma classe de vulnerabilidades exploráveis em CI/CD em repositórios de código aberto, que permitiu que invasores roubassemdent, enviassem código malicioso e comprometessem as operações de algumas das maiores organizações de software do mundo.
Essas vulnerabilidades foram encontradas em repositórios pertencentes à Microsoft, Google, Apache, Cloudflare e à Python Software Foundation, empresas que também afirmaram tê-las corrigido.
Qual é a vulnerabilidade do Cordyceps?
A empresa de segurança Novee descobriu uma nova e perigosa classe de vulnerabilidades em pipelines de CI/CD, que denominou "Cordyceps". O nome "Cordyceps" vem de um fungo parasita que se apodera de seu hospedeiro, pois essa falha permite que qualquer pessoa com uma conta gratuita no GitHub assuma o controle de projetos populares de código aberto.
As vulnerabilidades foram descobertas em repositórios pertencentes à Microsoft, Google, Apache, Cloudflare e à Python Software Foundation. Uma única varredura de 30.000 repositórios revelou 300 cadeias de ataque totalmente exploráveis.
Os atacantes conseguem roubardent, injetar código malicioso e comprometer as cadeias de suprimentos de software por meio dessas vulnerabilidades. Os problemas foram corrigidos, mas os pesquisadores alertam que os assistentes de codificação de IA continuarão a reproduzi-los em milhões de repositórios.
Os fluxos de trabalho do GitHub Actions lidam com tarefas importantes, como executar testes, compilar software e publicar versões, mas geralmente são tratados como simples arquivos de configuração em vez de código crítico para a segurança.
A cadeia de ataque geralmente começa quando um agente externo, que pode ser qualquer pessoa com uma conta gratuita no GitHub, envia uma solicitação de pull request ou deixa um comentário em um repositório público. Um fluxo de trabalho com privilégios reduzidos, que aceita a contribuição do agente externo como se fossem dados confiáveis, é então ativado.
A partir daí, o fluxo de saída segue para um segundo fluxo de trabalho executado com permissões elevadas. Esse segundo fluxo de trabalho pode conter tokens de autenticação do provedor de nuvem,dentdo registro de pacotes ou chaves de assinatura. Nesse ponto, o invasor pode roubar tokens que não expiram ou comprometer permanentemente o repositório.
Segundo pesquisadores de segurança, cada etapa individual nessas cadeias pode passar por uma auditoria de segurança por si só. A vulnerabilidade só aparece quando alguém traco caminho de dados não confiáveis ao longo de toda a sequência de transferências do fluxo de trabalho.
Quais grandes empresas foram afetadas pela vulnerabilidade?
A Novee encontrou e relatou vulnerabilidades confirmadas em algumas das maiores organizações de tecnologia do mundo.
O Azure Sentinel da Microsoft, por exemplo, continha um comentário em uma solicitação de pull request que poderia desencadear a execução de código malicioso na infraestrutura de CI da Microsoft e roubar uma chave de aplicativo do GitHub que não expira. Essa chave teria concedido acesso de gravação persistente ao conteúdo de detecção de segurança que a Microsoft distribui para os espaços de trabalho do Sentinel dos clientes.
O repositório do Kit de Desenvolvimento de Agentes de IA do Google, com mais de 9.200 estrelas no GitHub, tinha uma falha em que uma única solicitação de pull request poderia permitir que um invasor obtivesse o nível de permissão mais alto (funções/proprietário) no projeto associado do Google Cloud.
No banco de dados Doris Analytics da Apache, pesquisadores encontraram duas vias de ataque sem cliques. Uma permitia que um comentário em qualquer solicitação de pull roubassedentde CI embutidas no código, enquanto a outra permitia que uma solicitação de pull bifurcada roubasse um token com permissões totais de gravação em todo o código, pacotes e páginas.
O SDK Workers da Cloudflare, construído em torno do conjunto de ferramentas Wrangler CLI, era vulnerável à execução de comandos arbitrários acionada por um nome de branch especialmente criado.
O formatador de código Black da Python Software Foundation, que possui mais de 130 milhões de downloads, tinha uma falha que permitia que qualquer solicitação de pull request roubasse o token do bot de automação do projeto, que então podia aprovar outras solicitações de pull request.
Novee confirmou ao Dark Reading que nenhum desses padrões de fluxo de trabalho foi explorado antes da aplicação das correções.
Meged recomenda que os CISOs tratem os arquivos de fluxo de trabalho CI/CD como código crítico para a segurança.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Perguntas frequentes
O que é Cordyceps no contexto da cibersegurança?
Cordyceps é o nome que a Novee Security deu a uma classe de vulnerabilidades em fluxos de trabalho de CI/CD, onde entradas não confiáveis (como um pull request ou um comentário) cruzam os limites de confiança entre arquivos de fluxo de trabalho do GitHub Actions, permitindo que invasores roubemdentou injetem código usando apenas uma conta gratuita do GitHub.
Alguma das vulnerabilidades do Cordyceps foi explorada antes de ser corrigida?
Novee confirmou ao Dark Reading que os padrões de fluxo de trabalho divulgados não foram explorados antes da aplicação das correções, e não há evidências de que algum invasor tenha usado o padrão em larga escala.
Quais organizações foram afetadas pelo Cordyceps?
Novee validou cadeias de ataque exploráveis em repositórios pertencentes à Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) e Python Software Foundation (Black formatter), todos os quais já aplicaram correções.
Aviso Legal. As informações fornecidas não constituem aconselhamento de investimento. CryptopolitanO não se responsabiliza por quaisquer investimentos realizados com base nas informações fornecidas nesta página. Recomendamostrona realização de pesquisas independentesdent /ou a consulta a um profissional qualificado antes de tomar qualquer decisão de investimento.
Hannah Collymore
Hannah é escritora e editora com quase uma década de experiência em redação para blogs e cobertura de eventos no universo das criptomoedas. No Cryptopolitan, Hannah contribui para a página de notícias, reportando e analisando os últimos desenvolvimentos em DeFi, RWA, regulamentação de criptomoedas, IA e tecnologias de ponta. Ela se formou em Administração de Empresas pela Universidade Arcadia.
- Quais criptomoedas podem te fazer ganhar dinheiro?
- Como aumentar a segurança da sua carteira digital (e quais realmente valem a pena usar)
- Estratégias de investimento pouco conhecidas que os profissionais utilizam
- Como começar a investir em criptomoedas (quais corretoras usar, as melhores criptomoedas para comprar etc.)