Legit Security מסייעת לתקן פגיעויות בשרשרת האספקה של תוכנה בפרויקטי קוד פתוח

מורן שקד

לפני 2 שנים

legit-security-logo

Legit Security, חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה כי גילתה פגיעויות התקפה על שרשרת אספקת התוכנה בפרויקטים פופולריים בקוד פתוח מגוגל ואפאצ’י. הפגיעות שהתגלתה משפיעה על GitHub, מערכת ניהול קוד מקור פופולרית ביותר שנמצאת בליבת שרשרת אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה באופן גלובלי. צוות המחקר של Legit Security מצא סוג חדש של פגיעות CI/CD בשם GitHub Environment Injection המאפשרת לתוקפים להשתלט על צינור ה-GitHub Actions CI/CD בפרויקט פגיע. כל משתמש GitHub יכול לנצל את הפגיעות הזו כדי לשנות את קוד המקור של הפרויקט, לגנוב סודות, לנוע לרוחב ולתקוף בתוך הארגון, ובסופו של דבר ליזום התקפת שרשרת אספקה דמוית SolarWinds. הפגיעות נמצאה בפרויקט Google Firebase ובפרויקט מסגרת אינטגרציה פופולרי מאוד מבית אפאצ’י. גוגל ואפאצ’י אישרו את הפגיעויות ותיקנו אותן לאחר החשיפה הראשונית של Legit Security. Legit Security פרסמה באתר האינטרנט שלה בלוג גילוי טכני הכולל הנחיות לארגונים לתיקון פגיעות זו.

צוות המחקר של Legit Security גילה כי מטען בעל מבנה מיוחד שנכתב למשתנה סביבת GitHub בשם GITHUB_ENV יכול לאפשר לתוקף לבצע קוד בצינור היעד ובכך לשנות את קוד המקור או לסכן את המאגר עצמו. כל משתמש GitHub יכול ליזום התקפה כזו והיא קלה מאוד ליישום. כל מה שצריך לעשות הוא ליצור “בקשת משיכה” או שינוי מוצע לקוד המקור. עצם הגשת בקשת המשיכה תפעיל את פעולת הבנייה עם הפגיעות ותבצע פשרה מוצלחת והתוקף לא צריך לקבל אישור סקירת קוד ממתחזק קוד המקור כדי שזה ייכנס לתוקף.

הצוות Legit Security חשף את הבעיות הללו בפני מנהלי פרויקטים של גוגל ואפאצ’י, יחד עם הנחיות לתיקון, ואימת שהחולשות הללו לא נוצלו בידי שחקן מרושע. הפרויקטים תוקנו וכעת בטוחים. עם זאת, אלו אינם הפרויקטים היחידים הרגישים להתקפה מסוג זה. מכיוון שהשימוש בקובץ GITHUB_ENV נחשב כיום לדרך “הבטוחה” לשנות משתני סביבה ב-GitHub Actions, מאגרים רבים משתמשים בתזרימי עבודה שכותבים נתונים לא מהימנים לקובץ זה, מה שמשאיר אותם חשופים להתקפות שרשרת אספקה.

“סוג זה של פגיעות מצטרף לפגיעויות רבות אחרות בשרשרת אספקת התוכנה והתקפות שמכוונות לפרויקטים פופולריים בקוד פתוח, כולל GitHub, שהוא הגדול ביותר והמארח דה פקטו של רוב פרויקטי הקוד הפתוח”, אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף ב-Legit Security. “אנחנו, כקהילת אבטחה, חייבים לבנות את הכלים והתהליכים כדי להתמודד עם האיומים הללו ולאפשר לארגונים לסמוך על תוכנה ולהשתמש בה בבטחה. כאן ב- Legit Security המשימה שלנו היא לאבטח את שרשרת אספקת התוכנה של כל ארגון ואנו מבצעים מחקרי אבטחה פעילים, ומשתפים פעולה ביוזמות להשגת מטרה זו”.

לדברי Gartner®, כמעט מחצית מהארגונים ברחבי העולם יחוו מתקפה על שרשראות אספקת התוכנה שלהם עד 2025, גידול של פי שלושה מ-2021. חלה עלייה עצומה בניסיונות לפגוע בפרויקטים של קוד פתוח ובשירותי בניית CI/CD, כולל GitHub Actions, כדי לאפשר התקפות נרחבות באמצעות שרשראות אספקת תוכנה.

לניתוח מעמיק של הפגיעות GitHub Environment Injection, יחד עם מידע רחב יותר והדרכה כיצד להגן על הארגון שלכם מפני התקפות שרשרת אספקת תוכנה, בקרו באתר ובבלוג של Legit Security.

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות – בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. בלומר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. בלומר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.