⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova classe de fraquezas no fluxo de trabalho de CI/CD que permite que invasores sequestrem fluxos de trabalho e comprometam cadeias de suprimentos de código aberto.
O “padrão crítico explorável” recebeu o codinome Cordyceps da Novee Security. O problema pode permitir o controle total dos repositórios pelo invasor em dezenas das maiores organizações do mundo, incluindo Microsoft, Google, Apache e Cloudflare.
“A falha pode ser explorada por qualquer usuário não autenticado”, disse Elad Meged, engenheiro fundador e pesquisador de segurança da Novee Security. "Sem associação à organização ou privilégios especiais; uma conta gratuita é suficiente para falsificar aprovações, enviar código ou roubar credenciais."
A varredura da empresa de testes de penetração de cerca de 30.000 repositórios de alto impacto revelou que mais de 300 são totalmente exploráveis, permitindo execução de código controlada por invasores, roubo de credenciais e comprometimento da cadeia de suprimentos, o que pode ter graves impactos downstream.
A essência do problema se resume a configurações fracas de CI/CD que concedem a solicitações pull (PRs) mais permissões do que deveriam. PRs são propostas para mesclar alterações de código de uma ramificação no projeto principal. No entanto, como um PR não confiável pode acionar fluxos de trabalho privilegiados, ele pode abrir a porta para injeção de comando, escalonamento de privilégios e comprometimento da cadeia de suprimentos.
“Essa vulnerabilidade da cadeia de suprimentos reside no encanamento de código aberto básico em que toda a indústria funciona e no tipo de problema que se esconde dos scanners porque, tecnicamente, cada peça individual está funcionando conforme projetado”, explicou Novee. "O fluxo de trabalho faz o que foi mandado. A vulnerabilidade existe apenas na composição – dados não confiáveis cruzando um limite de confiança que ninguém auditou."
No Azure Sentinel da Microsoft, por exemplo, Novee encontrou um comentário sobre um PR que poderia executar código de invasor anônimo no CI da Microsoft e roubar uma chave não expirada do aplicativo GitHub. Em um caso semelhante, um PR no kit de desenvolvimento de agente de IA do Google ("adk-samples") poderia executar o código do invasor no CI do Google para obter autoridade completa sobre um repositório do Google Cloud.
Outras descobertas estão listadas abaixo -
Apache Doris, onde dois ataques de clique zero fazem com que um único comentário em qualquer PR ou um PR bifurcado execute o código do invasor e exfiltre credenciais de CI codificadas ou um token com permissões completas de gravação
Cloudflare Workers SDK, onde um PR com um nome de branch criado pode executar comandos arbitrários nos executores de CI da Cloudflare
Black da Python Software Foundation, onde uma única solicitação pull de qualquer pessoa poderia executar o código do invasor nos sistemas de construção de Black e roubar o token de automação, que pode então ser usado para aprovar solicitações pull.
Após a divulgação responsável, tanto a Microsoft quanto o Google confirmaram o impacto, enquanto Cloudflare, Python e Apache aplicaram proteção e patches, respectivamente.
“A natureza da codificação agente significa que essas vulnerabilidades de CI/CD são reproduzidas persistentemente, em escala, ‘infectando’ repositórios em uma taxa exponencial”, disse Meged. "Como usuários anônimos podem usá-los para obter controle sobre a cadeia de fornecimento de software, gostamos de pensar nisso como uma 'manobra de marionetes' nos repositórios de algumas das maiores empresas do mundo, manipulando silenciosamente seus fluxos de trabalho."
O “padrão crítico explorável” recebeu o codinome Cordyceps da Novee Security. O problema pode permitir o controle total dos repositórios pelo invasor em dezenas das maiores organizações do mundo, incluindo Microsoft, Google, Apache e Cloudflare.
“A falha pode ser explorada por qualquer usuário não autenticado”, disse Elad Meged, engenheiro fundador e pesquisador de segurança da Novee Security. "Sem associação à organização ou privilégios especiais; uma conta gratuita é suficiente para falsificar aprovações, enviar código ou roubar credenciais."
A varredura da empresa de testes de penetração de cerca de 30.000 repositórios de alto impacto revelou que mais de 300 são totalmente exploráveis, permitindo execução de código controlada por invasores, roubo de credenciais e comprometimento da cadeia de suprimentos, o que pode ter graves impactos downstream.
A essência do problema se resume a configurações fracas de CI/CD que concedem a solicitações pull (PRs) mais permissões do que deveriam. PRs são propostas para mesclar alterações de código de uma ramificação no projeto principal. No entanto, como um PR não confiável pode acionar fluxos de trabalho privilegiados, ele pode abrir a porta para injeção de comando, escalonamento de privilégios e comprometimento da cadeia de suprimentos.
“Essa vulnerabilidade da cadeia de suprimentos reside no encanamento de código aberto básico em que toda a indústria funciona e no tipo de problema que se esconde dos scanners porque, tecnicamente, cada peça individual está funcionando conforme projetado”, explicou Novee. "O fluxo de trabalho faz o que foi mandado. A vulnerabilidade existe apenas na composição – dados não confiáveis cruzando um limite de confiança que ninguém auditou."
No Azure Sentinel da Microsoft, por exemplo, Novee encontrou um comentário sobre um PR que poderia executar código de invasor anônimo no CI da Microsoft e roubar uma chave não expirada do aplicativo GitHub. Em um caso semelhante, um PR no kit de desenvolvimento de agente de IA do Google ("adk-samples") poderia executar o código do invasor no CI do Google para obter autoridade completa sobre um repositório do Google Cloud.
Outras descobertas estão listadas abaixo -
Apache Doris, onde dois ataques de clique zero fazem com que um único comentário em qualquer PR ou um PR bifurcado execute o código do invasor e exfiltre credenciais de CI codificadas ou um token com permissões completas de gravação
Cloudflare Workers SDK, onde um PR com um nome de branch criado pode executar comandos arbitrários nos executores de CI da Cloudflare
Black da Python Software Foundation, onde uma única solicitação pull de qualquer pessoa poderia executar o código do invasor nos sistemas de construção de Black e roubar o token de automação, que pode então ser usado para aprovar solicitações pull.
Após a divulgação responsável, tanto a Microsoft quanto o Google confirmaram o impacto, enquanto Cloudflare, Python e Apache aplicaram proteção e patches, respectivamente.
“A natureza da codificação agente significa que essas vulnerabilidades de CI/CD são reproduzidas persistentemente, em escala, ‘infectando’ repositórios em uma taxa exponencial”, disse Meged. "Como usuários anônimos podem usá-los para obter controle sobre a cadeia de fornecimento de software, gostamos de pensar nisso como uma 'manobra de marionetes' nos repositórios de algumas das maiores empresas do mundo, manipulando silenciosamente seus fluxos de trabalho."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falhas #de #ci/cd #do #cordyceps #expõem #mais #de #300 #repositórios #github #a #ataques #à #cadeia #de #suprimentos
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário