bencede
New member
Güvenlik: GitHub’da RepoJacking, Google gibi büyük şirketleri de etkiler
Bulut tabanlı güvenlik konusunda uzmanlaşmış bir şirket olan Aqua Security tarafından yapılan bir araştırmaya göre, GitHub yeniden ele geçirmesi gerçekçi bir risk oluşturuyor: Saldırganlar, kuruluş yeniden adlandırıldıktan sonra GitHub’ın erişimi otomatik olarak ilettiği depoları ele geçirebilir. Ele geçirilen depoya kötü amaçlı kod yerleştirebilir ve ardından yazılım tedarik zincirine saldırabilirler.
Duyuru
Aqua Security’nin güvenlik araştırmasından sorumlu Nautilus ekibi, GitHub’dan gelen verilerle veritabanlarını analiz etti ve incelenen 1,25 milyon depodan yaklaşık yüzde üçünün RepoJacking’e karşı savunmasız olduğunu buldu. Etkilenen kuruluşlar arasında Google ve Lyft vardı.
RepoJacking: Saldırı vektörünü yönlendirme
RepoJacking ile saldırganlar, GitHub’daki içeriklerinin kullanıcı adını değiştiren şirketlerin veya ekiplerin depolarının kontrolünü ele geçirir. Örneğin, bir şirket depoyu GitHub’da Raider (https://github.com/Raider/repo) kuruluş adıyla oluşturmuş olabilir. Daha sonra GitHub hesabını Twix olarak yeniden adlandırın, ardından depo https://github.com/Twix/repo adresinde bulunabilir.
Size kolaylık sağlamak için GitHub, bağımlılıkları eski hesabınızdan yeni hesabınıza otomatik olarak yönlendirebilir. Betikler, yine de Raider’ı işaret etse bile Twix altındaki depoyu otomatik olarak kullanır.
Ancak GitHub genellikle eski kuruluş adını bırakır. Bu nedenle, birisi ücretsiz olan Raider adını kullanırsa ve eski temel adla bir repo oluşturursa, Raider/repo üzerindeki tüm bağımlılıklar artık yönlendirmeye değil, yeni oluşturulan depoya erişir. Saldırganlar oraya kötü amaçlı kod bırakabilir.
Savunma mekanizmaları ve sınırları
GitHub, yaygın olarak kullanılan veya klonlanmış depolar için RepoJacking’i önleme yöntemlerine sahiptir. Ancak, kıyaslama muhtemelen kuruluşun yeniden adlandırılmasından önceki dönemdir. Koruma, daha sonra yalnızca daha sık kullanılan depolar için geçerli değildir.
Duyuru
RepoJacking’e duyarlı daha az bilinen alt projelerde dahili bağımlılıklar kullanıyorlarsa, daha büyük kuruluşların yaygın projeleri de etkilenebilir.
Güvenlik açığı bulunan depoları arayın
Aqua, RepoJacking’e karşı savunmasız depoları bulmak için GitHub kullanımına ilişkin halka açık verileri kullandı. GHTorrent projesi, GitHub’daki taahhütler ve çekme istekleri gibi tüm genel işlemler hakkında bilgi topladı. İlişkili web sitesine artık Aqua blogunda belirtilen veri kümesi bağlantısı kadar erişilemez, ancak kaynak kodu hala bir GitHub deposunda bulunmaktadır. SSS sayfası, projeyle ilgili ayrıntıları gösterir.
Proje web sitesinden indirilen Aqua veri kümesi, büyük olasılıkla 2012’deki kullanıcı ve kuruluş adlarının tüm geçmişini içeriyordu. Güvenlik araştırmacıları, rastgele seçilen bir aydan (Haziran 2019) verileri ve ondan derlenmiş 125 milyon depo adının listesini indirdi. Son olarak, RepoJacking güvenlik açığı için verilerin %1’lik bir örneğini kontrol ettiler. Görünüşe göre, 37.000 depo ile yaklaşık yüzde üçü potansiyel olarak savunmasızdı.
Lyft ve Google etkilendi
Soruşturma, muhtemelen neredeyse hiç kimsenin erişmediği, potansiyel olarak tehlike altında olan arşivlerden oluşan geniş bir veri tabanına ek olarak, büyük şirketlerin somut örneklerini de ortaya çıkardı. Bir Lyft deposunda yeniden yönlendirilen bir kuruluşa atıfta bulunan bir yükleme komut dosyası bulundu.
Komut dosyası tarafından başvurulan YesGraph organizasyonu artık GitHub’da mevcut değil, ancak kullanılabilir.
(Resim: Aqua Güvenlik)
Nautilus ekibi, eski YesGraph organizasyonunu kaydetmeyi ve yükleme komut dosyasında belirtilen depoyu oluşturmayı başardı. Bu şekilde, saldırganlar sözde güvenilir bir komut dosyası aracılığıyla kötü amaçlı kod dağıtmış olabilir.
Benzer bir durum, mathsteps projesinin yapım talimatlarında eski socraticorg organizasyonunun adını belirten Google ile ilgilidir. Google, 2018’de Socratic şirketini satın aldı ve GitHub’daki deponun kuruluş adını değiştirdi, ancak benioku dosyasında hala eski depoyla derleme talimatları gösteriliyor.
Google kuruluşu altındaki depodaki beni oku, yine de deponun socratic.org kuruluşu altındaki klonlanmasına işaret ediyor.
Aqua Security’ye göre hem Lyft hem de Google o zamandan beri güvenlik açığını düzeltti. Soruşturmayla ilgili blog yazısı, anonim kalmak isteyen diğer RepoJacking risk şirketlerinden de bahsediyor. Ekibe göre, tanınmış şirketlerin çeşitli depolarıyla bir kavram kanıtı yaptılar ve RepoJacked depolarının içeriğini kimin indirdiğini doğruladılar. Büyük şirketler de muhtemelen etkilendi.
Dikkatli ol ve içeride kal
Repojacking’e karşı koymak için, kuruluş adlarının değişip değişmediğini görmek için harici GitHub depolarına bağlantılar düzenli olarak kontrol edilmelidir. Tehlikeli olan, iletme sayesinde, saldırganlar eski bir kuruluş adını benimsemeden önce kodun yıllarca amaçlandığı gibi çalışabilmesidir.
GitHub’da yaygın olarak kullanılan bir deponun arkasındaki kuruluşun adını değiştiren herhangi bir şirket veya açık kaynak ekibi, başka hiç kimsenin içeriği kötüye kullanmaması için mümkünse eski adı korumalıdır.
(rm)
Haberin Sonu