חברת Cycode חשפה חולשות אבטחה בעשרות פרויקטים של קוד פתוח ב- GitHub
בין עשרות הפרויקטים הפגיעים ניתן למצוא כמה ספריות פופולריות כמו Liquibase, DynamoBIM, Fauna, Wire, Astro, Kogito ו-Ombi
עמי רוחקס דומבה
| 22/03/2022
bigstock
חוקרי אבטחה בחברת הסייבר הישראלית Cycode שפיתחה פתרון הגנה מקיף לתשתיות של שרשראות אספקת תוכנה (Software Supply Chain), מצאו חולשות אבטחה בעשרות פרויקטים של קוד פתוח המתבססים על מערכת בניית הקוד (CI/CD) של חברת GitHub שנקראית GitHub Actions.
בין עשרות הפרויקטים הפגיעים ניתן למצוא כמה ספריות פופולריות כמו Liquibase, DynamoBIM, Fauna, Wire, Astro, Kogito ו-Ombi. בדוח שפרסמה, Cycode ציינה כי כל משתמש בGitHub יכול לנצל את החולשה ע״י Issues (דרך לתעד באגים בקוד), והחדרת קוד דרך כותרת זדונית. כלל החולשות דווחו לחברות, ותוקנו.
תוצאה של תקיפה כזו היא הרסנית, מכיוון שלתוקף יש את היכולת להכניס קוד זדוני לתוך קוד המקור ללא ידיעה של המפתחים האחראים על הפרויקט. קוד זה יבנה למוצר תוכנה, ויופץ לכל הלקוחות של המוצר. זו יכולה להיות תשתית לתקיפת שרשרת אספקת תוכנה בדומה למה שבוצע במתקפה על בSolarWinds, אחת מפריצות הסייבר החמורות ביותר שאירעו בשנים האחרונות.
בנוסף, לתוקף יש יכולת לקבל מפתחות סודיים בהם משתמשים בתהליך הבנייה, כמו מפתח לסביבת הענן המבצעית של המוצר.
חברת GitHub מכירה את הבעיה המאפשרת להחדיר קוד זדוני למסלולי בניית קוד המשתמשים בפלטפורמה שלה, אך מעבר להזהרות, אינה מתקנת זאת. עם זאת, ב, Cycode מציינים כי הבעיה הופכת נפוצה מאוד, לאור הפופולריות העולה של GitHub Actions וקצב הפיתוח המהיר של ארגונים בתעשייה.
אלכס אילגייב, חוקר בכיר בCycode: ״הבעיות שמצאנו בשימוש של GitHub Actions בארגונים השונים מוכיחה שתהליך ה-CI/CD הוא תהליך מאוד פגיע, וצריך להגן עליו בהתאם. ההשפעה של חדירת תוקף לתהליך זה תהיה הרסנית לא רק עבור הארגון, אלא גם עבור כל משתמשי המוצר של אותו הארגון. ווידאנו שלא בוצע שימוש זדוני בחולשות שמצאנו״.
במחקר שהציגה, חברת Cycode המליצה על מספר שיטות אשר ימנעו תקיפה כזו על ארגון שמשתמש בGitHub Actions: שימוש במשתני סביבה כחלק מתהליך הבנייה, הגבלת הרשאות להכנסת קוד, הגבלת הרשאות למפתחות השמורים במערכת ועוד.
בין עשרות הפרויקטים הפגיעים ניתן למצוא כמה ספריות פופולריות כמו Liquibase, DynamoBIM, Fauna, Wire, Astro, Kogito ו-Ombi
bigstock
חוקרי אבטחה בחברת הסייבר הישראלית Cycode שפיתחה פתרון הגנה מקיף לתשתיות של שרשראות אספקת תוכנה (Software Supply Chain), מצאו חולשות אבטחה בעשרות פרויקטים של קוד פתוח המתבססים על מערכת בניית הקוד (CI/CD) של חברת GitHub שנקראית GitHub Actions.
בין עשרות הפרויקטים הפגיעים ניתן למצוא כמה ספריות פופולריות כמו Liquibase, DynamoBIM, Fauna, Wire, Astro, Kogito ו-Ombi. בדוח שפרסמה, Cycode ציינה כי כל משתמש בGitHub יכול לנצל את החולשה ע״י Issues (דרך לתעד באגים בקוד), והחדרת קוד דרך כותרת זדונית. כלל החולשות דווחו לחברות, ותוקנו.
תוצאה של תקיפה כזו היא הרסנית, מכיוון שלתוקף יש את היכולת להכניס קוד זדוני לתוך קוד המקור ללא ידיעה של המפתחים האחראים על הפרויקט. קוד זה יבנה למוצר תוכנה, ויופץ לכל הלקוחות של המוצר. זו יכולה להיות תשתית לתקיפת שרשרת אספקת תוכנה בדומה למה שבוצע במתקפה על בSolarWinds, אחת מפריצות הסייבר החמורות ביותר שאירעו בשנים האחרונות.
בנוסף, לתוקף יש יכולת לקבל מפתחות סודיים בהם משתמשים בתהליך הבנייה, כמו מפתח לסביבת הענן המבצעית של המוצר.
חברת GitHub מכירה את הבעיה המאפשרת להחדיר קוד זדוני למסלולי בניית קוד המשתמשים בפלטפורמה שלה, אך מעבר להזהרות, אינה מתקנת זאת. עם זאת, ב, Cycode מציינים כי הבעיה הופכת נפוצה מאוד, לאור הפופולריות העולה של GitHub Actions וקצב הפיתוח המהיר של ארגונים בתעשייה.
אלכס אילגייב, חוקר בכיר בCycode: ״הבעיות שמצאנו בשימוש של GitHub Actions בארגונים השונים מוכיחה שתהליך ה-CI/CD הוא תהליך מאוד פגיע, וצריך להגן עליו בהתאם. ההשפעה של חדירת תוקף לתהליך זה תהיה הרסנית לא רק עבור הארגון, אלא גם עבור כל משתמשי המוצר של אותו הארגון. ווידאנו שלא בוצע שימוש זדוני בחולשות שמצאנו״.
במחקר שהציגה, חברת Cycode המליצה על מספר שיטות אשר ימנעו תקיפה כזו על ארגון שמשתמש בGitHub Actions: שימוש במשתני סביבה כחלק מתהליך הבנייה, הגבלת הרשאות להכנסת קוד, הגבלת הרשאות למפתחות השמורים במערכת ועוד.
