fbpx

חברת Cycode חשפה חולשות אבטחה בעשרות פרוייקטי קוד פתוח ב-GitHub

חוקרי אבטחה בחברת הסייבר הישראלית Cycode מצאו חולשות אבטחה בעשרות פרויקטים של קוד פתוח המתבססים על מערכת בניית הקוד (CI/CD) של חברת GitHub שנקראת GitHub Actions. בין עשרות הפרויקטים הפגיעים ניתן למצוא כמה ספריות פופולריות כמו Liquibase, DynamoBIM, Fauna, Wire, Astro, Kogito ו-Ombi.

Cycode עצמה פיתחה פתרון הגנה מקיף לתשתיות של שרשראות אספקת תוכנה (Software Supply Chain) אשר מגן, בין היתר, על תשתיות ה-CI/CD. בדוח שפרסמה, Cycode ציינה כי כל משתמש ב-GitHub יכול לנצל את החולשה ע״י Issues (דרך לתעד באגים בקוד), והחדרת קוד דרך כותרת זדונית. כלל החולשות דווחו לחברות, ותוקנו.

תוצאה של תקיפה כזו היא הרסנית, מכיוון שלתוקף יש את היכולת להכניס קוד זדוני לתוך קוד המקור ללא ידיעה של המפתחים האחראים על הפרויקט. קוד זה יבנה למוצר תוכנה, ויופץ לכל הלקוחות של המוצר. זו יכולה להיות תשתית לתקיפת שרשרת אספקת תוכנה בדומה למה שבוצע במתקפה על בSolarWinds, אחת מפריצות הסייבר החמורות ביותר שאירעו בשנים האחרונות.

בנוסף, לתוקף יש יכולת לקבל מפתחות סודיים בהם משתמשים בתהליך הבנייה, כמו מפתח לסביבת הענן המבצעית של המוצר. חברת GitHub מכירה את הבעיה המאפשרת להחדיר קוד זדוני למסלולי בניית קוד המשתמשים בפלטפורמה שלה, אך מעבר להזהרות, אינה מתקנת זאת. עם זאת, ב-Cycode מציינים כי הבעיה הופכת נפוצה מאוד, לאור הפופולריות העולה של GitHub Actions וקצב הפיתוח המהיר של ארגונים בתעשייה.

אלכס אילגייב, חוקר בכיר בCycode: "הבעיות שמצאנו בשימוש של GitHub Actions בארגונים השונים מוכיחה שתהליך ה-CI/CD  הוא תהליך מאוד פגיע, וצריך להגן עליו בהתאם. ההשפעה של חדירת תוקף לתהליך זה תהיה הרסנית לא רק עבור הארגון, אלא גם עבור כל משתמשי המוצר של אותו הארגון. ווידאנו שלא בוצע שימוש זדוני בחולשות שמצאנו".

במחקר שהציגה, חברת Cycode המליצה על מספר שיטות אשר ימנעו תקיפה כזו על ארגון שמשתמש בGitHub Actions: שימוש במשתני סביבה כחלק מתהליך הבנייה, הגבלת הרשאות להכנסת קוד, הגבלת הרשאות למפתחות השמורים במערכת ועוד.

בעידן בו השימוש בתשתיות קוד פתוח והשימוש בתשתיות CI/CD הופכים לפופולריים במיוחד, אין ספק שפרצות אבטחות שכאלו מדאיגות מאוד. הגילוי של Cycode מאפשר למעשה לסגור פרצות אבטחה הקיימות בספריות קוד פתוח שנמצאות בשימוש באינספור פתרונות תוכנה בשוק.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן