Новости Репозитории под угрозой: как GitHub чуть не допустил массового захвата кода

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
4000 популярных пакетов целых полгода были уязвимы для RepoJacking-атак.


s3pq3j925mj0y8fynnd7uhqyxqx4excg.jpg


На платформе GitHub Для просмотра ссылки Войди или Зарегистрируйся новая уязвимость, которая может подвергнуть риску тысячи репозиториев. Уязвимость позволяет злоумышленникам эксплуатировать так называемое «состояние гонки» ( «Race Condition» ) в процессе создания репозитория и смены имени пользователя.

Элад Рапопорт, исследователь безопасности из Checkmarx, заявил следующее: «Успешная эксплуатация данной уязвимости затрагивает открытое программное обеспечение, позволяя захватить более 4000 пакетов кода на языках Go , PHP и Swift , а также GitHub Actions» .

После ответственного раскрытия уязвимости 1 марта 2023 года, подконтрольная Microsoft платформа для хостинга кода устранила проблему 1 сентября 2023 года, поэтому сейчас пользователям GitHub ничего не угрожает.

Термин «RepoJacking» (захват репозитория) описывает технику, при которой потенциальный злоумышленник может обойти механизм безопасности хостинг-платформы и получить контроль над желаемым репозиторием.

В случае с описываемой уязвимостью GitHub злоумышленники могли создавать перенаправления на свои вредоносные репозитории, используя легитимные, но устаревшие пространства имён. Этот метод мог потенциально привести к атакам на цепочку поставок программного обеспечения.


bn1b5rv7ft8b6vw94j4mjfh68p8fmljf.png


Схема и потенциальный ущерб атаки

Существующая защита, Для просмотра ссылки Войди или Зарегистрируйся сервисом ещё в 2018 году, предотвращает создание нового репозитория с тем же именем, если у репозитория уже есть более 100 клонов в момент переименования аккаунта пользователя. Однако, как выяснилось, этот защитный механизм можно было обойти благодаря вышеописанной уязвимости.

Примечательно, что в конце прошлого года представители GitHub уже устраняли Для просмотра ссылки Войди или Зарегистрируйся , которая также могла привести к атакам типа «RepoJacking».

В целом, эксперты считают, что с механизмом переименования репозиториев связана целая уйма рисков и, кто знает, может в будущем злоумышленники найдут новые способы для эксплуатации этого механизма.
 
Источник новости
www.securitylab.ru

Похожие темы