Legit Security חשפה את MarkdownTime

עומר רגב

לפני 2 שנים

legit-security-logo

פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה פגיעות מסוג מניעת שירות (DoS) שקל לנצל בספריות Markdown המשמשות את GitHub, GitLab ואינספור יישומים אחרים המשתמשים בשירות ה-Markdown הפופולרי Commonmarker. עם הפגיעות המכונה MarkdownTime, גרסה פגיעה של השירות Commonmarker מאפשרת לתוקף לפרוס התקפת DoS פשוטה שתשבית אינספור שירותים עסקיים דיגיטליים ברחבי העולם על ידי שיבוש צינורות פיתוח היישומים שלהם.

Markdown מתייחס ליצירת טקסט מעוצב באמצעות עורך טקסט רגיל שנמצא בדרך כלל בכלים ובסביבות פיתוח תוכנה. מגוון רחב של יישומים ופרויקטים מיישמים את ספריות הקוד הפתוח הפופולריות של Markdown, כמו הגרסה הפופולרית המשולבת ביישום של GitHub – GFM (״GitHub Flavored Markdown״). במקרה זה, חוקרי Legit Security מצאו כי מאוד פשוט להוביל לפעולה שתגרום למיצוי משאבים בלתי מוגבל המוביל להתקפת מניעת שירות שעלולה להפיל את השירות. לאחר שהפנו את תשומת הלב של צוות האבטחה של GitHub לפגיעות הזו, השירות זיהה את הבעיה ופרסם אישור ותיקון רשמיים שניתן למצוא כאן: CVE-2022-39209. יש לציין שגם כלים ושירותים רבים אחרים עשויים להיות רגישים לאותה פגיעות.

“ספריות קוד פתוח נמצאות בכל מקום בפיתוח תוכנה מודרני, אבל כשצצות פגיעויות, יכול להיות מאוד קשה לעקוב אחריהן בגלל עותקים לא מבוקרים של הקוד הפגיע המקורי”, אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף של Legit Security. “כאשר ספריה הופכת לפופולרית ונפוצה, פגיעות בתוכה עלולה לאפשר התקפה על אינספור פרויקטים. התקפות אלו יכולות לכלול הפרעה לשירותים עסקיים קריטיים, כמו פגיעה בשרשרת אספקת התוכנה והיכולת לשחרר יישומים עסקיים חדשים”.

זה בדיוק מה שצוות המחקר של Legit Security מצא בהקשר של MarkdownTime: עותק של יישום ה-GFM הפגיע נמצא ב-Commonmarker, חבילת Ruby הפופולרית המיישמת תמיכה ב-Markdown, לה יש יותר ממיליון מאגרים תלויים. צוות Legit Security מצא הטמעה במספר שירותי ניהול קוד מקור קריטיים לעסקים, ביניהם GitHub ו-GitLab. באמצעות ניצול זה, תוקף לא מאומת יכול להפיל צינורות ייצור תוכנה שלמים ולגרום נזק משמעותי ליוזמות העסקיות הדיגיטליות של הארגון. שירותים רבים אחרים מעבר לסביבות פיתוח תוכנה בלבד עלולים להיות פגיעים לשיבוש עסקי יקר.

צוות המחקר של Legit Security חשף את סוגיית האבטחה הזו לגוף המתחזק את Commonmarker, כמו גם ל-GitHub וגם ל-GitLab. כולם תיקנו את הבעיות, אך עותקים רבים נוספים של יישום ה-Markdown הזה נפרסו ונמצאים בשימוש.

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות – בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. בלומר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. בלומר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.