GitHub'da 15.000 Go Modülü Deposu Repojacking Saldırısına Karşı Savunmasız
Yeni araştırmalar, GitHub'daki 15.000'den fazla Go modülü deposunun repojacking adı verilen bir saldırıya karşı savunmasız olduğunu buldu.
VulnCheck'in baş teknoloji sorumlusu Jacob Baines, paylaşılan bir raporda, "9.000'den fazla depo, GitHub kullanıcı adı değişiklikleri nedeniyle yeniden ele geçirmeye karşı savunmasız" dedi. "6.000'den fazla depo, hesap silme nedeniyle yeniden ele geçirmeye karşı savunmasızdı."
Toplu olarak, bu depolar en az 800.000 Go modül sürümünü oluşturur.
"Depo" ve "ele geçirme" kelimelerinin birleşiminden oluşan Repojacking, kötü niyetli bir aktörün açık kaynaklı yazılım tedarik zinciri saldırıları düzenlemek için aynı ada ve önceden var olan kullanıcı adına sahip bir depo oluşturmak için hesap kullanıcı adı değişikliklerinden ve silmelerinden yararlanmasına olanak tanıyan bir saldırı tekniğidir.
Bu Haziran ayının başlarında, bulut güvenlik firması Aqua, GitHub'daki milyonlarca yazılım havuzunun tehdide karşı savunmasız olduğunu açıkladı ve ad değişikliklerine uğrayan kuruluşları, bu tür kötüye kullanımları önlemek için yer tutucu olarak önceki adlarına sahip olduklarından emin olmaya çağırdı.
Go programlama dilinde yazılan modüller, npm veya PyPI gibi diğer paket yöneticisi çözümlerinden farklı olarak, GitHub veya Bitbucket gibi sürüm kontrol platformlarında yayınlandıkları için merkezi olmadıkları için repojacking'e karşı özellikle hassastır.
Baines, "Daha sonra herkes Go modülü aynasına talimat verebilir ve modülün ayrıntılarını önbelleğe pkg.go.dev verebilir" dedi. "Bir saldırgan yeni kullanılmayan kullanıcı adını kaydedebilir, modül deposunu çoğaltabilir ve proxy.golang.org ve go.pkg.dev için yeni bir modül yayınlayabilir."
Geliştiricilerin güvenli olmayabilecek paketleri kaldırmasını önlemek için GitHub, sahiplerin hesapları yeniden adlandırılmadan veya silinmeden önce 100'den fazla kez kopyalanmış kullanımdan kaldırılmış ad alanlarının adlarıyla depo oluşturma girişimlerini engelleyen popüler depo ad alanı kullanımdan kaldırma adlı bir karşı önlem uygulamıştır.
Ancak VulnCheck, bu korumanın, modül aynası tarafından önbelleğe alındıkları için Go modülleri söz konusu olduğunda yararlı olmadığını ve böylece bir depoyla etkileşim kurma veya klonlama ihtiyacını ortadan kaldırdığını belirtti. Başka bir deyişle, 100 defadan daha az klonlanmış popüler Go tabanlı modüller olabilir ve bu da bir tür baypas ile sonuçlanabilir.
Baines, "Ne yazık ki, tüm bu repojacking'leri hafifletmek, Go veya GitHub'ın üstlenmesi gereken bir şey" dedi. "Bir üçüncü taraf 15.000 GitHub hesabını makul bir şekilde kaydedemez. O zamana kadar, Go geliştiricilerinin kullandıkları modüllerin ve modüllerin kaynaklandığı deponun durumunun farkında olmaları önemlidir."
Açıklama ayrıca Lasso Security'nin Hugging Face ve GitHub'da Google, Meta, Microsoft ve VMware ile ilişkili olanlar da dahil olmak üzere tedarik zinciri, eğitim veri zehirlenmesi ve model hırsızlığı saldırıları için potansiyel olarak kullanılabilecek 1.681 açıkta kalan API belirteci keşfettiğini söylemesinin ardından geldi.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi