Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Microsoft и Google устранили уязвимости, связанные с распространением вируса Cordyceps в репозиториях с открытым исходным кодом
- Специалисты по безопасности из Novee обнаружили более 300 уязвимых цепочек рабочих процессов CI/CD в репозиториях, принадлежащих Microsoft, Google, Apache, Cloudflare и Python Software Foundation.
- Выявленные недостатки позволили осуществить кражуdentданных, внедрение кода и компрометацию цепочки поставок из-за пробелов между файлами рабочих процессов GitHub Actions.
- Все выявленные уязвимости были устранены, однако агенты искусственного интеллекта, занимающиеся программированием, воспроизводят те же небезопасные шаблоны в миллионах репозиториев.
Компания Novee, специализирующаяся на информационной безопасности, выявила Cordyceps — класс эксплуатируемых уязвимостей в системах CI/CD в репозиториях с открытым исходным кодом, которые позволяют злоумышленникам крастьdentданные, распространять вредоносный код и компрометировать работу некоторых крупнейших мировых компаний-разработчиков программного обеспечения.
Эти уязвимости были обнаружены в репозиториях, принадлежащих Microsoft, Google, Apache, Cloudflare и Python Software Foundation, и компании также заявили, что устранили их.
В чём заключается уязвимость к кордицепсу?
Компания Novee, специализирующаяся на информационной безопасности, обнаружила новый опасный класс уязвимостей в конвейерах CI/CD, которые она называет «кордицепсами». Название «кордицепс» происходит от паразитического грибка, который поражает своего хозяина, поскольку эта уязвимость позволяет любому пользователю с бесплатной учетной записью GitHub получить контроль над популярными проектами с открытым исходным кодом.
Уязвимости были обнаружены в репозиториях, принадлежащих Microsoft, Google, Apache, Cloudflare и Python Software Foundation. Одно сканирование 30 000 репозиториев выявило 300 полностью эксплуатируемых цепочек атак.
Злоумышленники могут красть учетныеdent, внедрять вредоносный код и компрометировать цепочки поставок программного обеспечения, используя эти уязвимости. Проблемы уже устранены, но исследователи предупреждают, что помощники по программированию на основе ИИ будут продолжать воспроизводить их в миллионах репозиториев.
Рабочие процессы GitHub Actions обрабатывают важные задачи, такие как запуск тестов, сборка программного обеспечения и публикация релизов, но зачастую к ним относятся как к простым конфигурационным файлам, а не как к критически важному с точки зрения безопасности коду.
Обычно цепочка атак начинается с того, что посторонний человек, которым может быть любой пользователь с бесплатной учетной записью GitHub, отправляет запрос на слияние (pull request) или оставляет комментарий в общедоступном репозитории. Затем активируется рабочий процесс с низкими привилегиями, который принимает ввод постороннего человека как доверенные данные.
Затем выходные данные поступают во второй рабочий процесс, который выполняется с повышенными правами доступа. Этот второй рабочий процесс может содержать токены аутентификации облачного провайдера,dentданные реестра пакетов или ключи подписи. На этом этапе злоумышленник может либо украсть неистекающие токены, либо навсегда скомпрометировать репозиторий.
По мнению исследователей в области безопасности, каждый отдельный шаг в этих цепочках может пройти проверку безопасности самостоятельно. Уязвимость проявляется только тогда, когда кто-то tracпуть недоверенных данных по всей последовательности передачи данных в рамках рабочего процесса.
Какие крупные компании пострадали от этой уязвимости?
Компания Novee обнаружила и подтвердила наличие уязвимостей в некоторых крупнейших технологических организациях мира.
Например, в Azure Sentinel от Microsoft содержался комментарий к запросу на слияние, который мог инициировать выполнение кода злоумышленниками в инфраструктуре CI Microsoft и украсть неиспользуемый ключ приложения GitHub. Этот ключ предоставлял бы постоянный доступ на запись к содержимому системы обнаружения угроз безопасности, которое Microsoft распространяет в рабочие пространства Sentinel клиентов.
В репозитории Google AI Agent Development Kit, имеющем более 9200 звезд на GitHub, была обнаружена уязвимость, из-за которой один запрос на слияние мог позволить злоумышленнику получить наивысший уровень доступа (роли/владелец) к соответствующему проекту Google Cloud.
В базе данных Apache Doris Analytics исследователи обнаружили два пути атаки без кликов. Один позволял комментарию к любому запросу на слияние красть жестко закодированныеdentданные CI, а другой позволял форкнутому запросу на слияние красть токен с полными правами на запись в код, пакеты и страницы.
SDK Cloudflare Workers, созданный на основе инструментария командной строки Wrangler, был уязвим для произвольного выполнения команд, запускаемого специально сформированным именем ветки.
В программе для форматирования кода Black от Python Software Foundation, которую скачали более 130 миллионов раз, была обнаружена уязвимость, из-за которой любой запрос на слияние мог украсть токен бота автоматизации проекта, который затем мог одобрять дальнейшие запросы на слияние.
Компания Novee подтвердила изданию Dark Reading, что ни одна из этих схем обработки данных не была использована злоумышленниками до установки патчей.
Компания Meged рекомендует руководителям служб информационной безопасности рассматривать файлы рабочих процессов CI/CD как критически важный для безопасности код.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Часто задаваемые вопросы
Что представляет собой кордицепс в контексте кибербезопасности?
Кордицепс — так компания Novee Security обозначила класс уязвимостей в рабочих процессах CI/CD, при которых ненадежные входные данные (например, запрос на слияние или комментарий) нарушают границы доверия между файлами рабочих процессов GitHub Actions, позволяя злоумышленникам крастьdentданные или внедрять код, используя лишь бесплатную учетную запись GitHub.
Были ли использованы какие-либо уязвимости Cordyceps до того, как они были исправлены?
Компания Novee подтвердила изданию Dark Reading, что раскрытые шаблоны рабочих процессов не были использованы злоумышленниками до внесения исправлений, и нет никаких доказательств того, что какой-либо злоумышленник использовал этот шаблон в масштабах всей системы.
Какие организации пострадали от воздействия кордицепса?
Компания Novee подтвердила наличие уязвимых цепочек атак в репозиториях, принадлежащих Microsoft (Azure Sentinel), Google (AI Agent Development Kit), Apache (Doris), Cloudflare (Workers SDK) и Python Software Foundation (Black formatter), и все они с тех пор внесли исправления.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Ханна Коллимор
Ханна — писательница и редактор с почти десятилетним опытом ведения блогов и освещения мероприятий в криптопространстве. В CryptopolitanХанна пишет для новостной страницы, освещая и анализируя последние события в DeFi, RWA, регулирования криптовалют, ИИ и передовых технологических отраслей. Она окончила университет Аркадия со степенью в области делового администрирования.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)