Нови открития показват, че нова уязвимост в GitHub може да е изложила хиляди хранилища на риск от атаки от типа repojacking.

Недостатъкът „би могъл да позволи на атакуващия да се възползва от състезателно условие в операциите за създаване на хранилища и преименуване на потребителско име в GitHub“, казва изследователят по сигурността на Checkmarx Елад Рапопорт в технически доклад, споделен с The Hacker News.

„Успешното използване на тази уязвимост оказва влияние върху общността с отворен код, като позволява превземането на над 4000 пакета с код на езици като Go, PHP и Swift, както и на действия на GitHub.“

След отговорното разкриване на 1 март 2023 г. платформата за хостинг на код, собственост на Microsoft, е отстранила проблема на 1 септември 2023 г.

Repojacking, съкратено от repository hijacking (превземане на хранилище), е техника, при която  заплахата може да заобиколи механизъм за сигурност, наречен популярно оттегляне на пространството от имена на хранилището, и в крайна сметка да контролира хранилището.

Това, което прави мярката за защита, е да попречи на други потребители да създадат хранилище със същото име като хранилището с повече от 100 клонинга в момента на преименуване на потребителския му акаунт. С други думи, комбинацията от потребителско име и име на хранилище се счита за „пенсионирана“.

Ако тази предпазна мярка бъде тривиално заобиколена, това може да даде възможност на  заплахите да създават нови акаунти със същото потребителско име и да качват зловредни хранилища, което потенциално може да доведе до атаки по веригата за доставка на софтуер.

 

Новият метод, описан от Checkmarx, се възползва от потенциално условие за надпревара между създаването на хранилище и преименуването на потребителско име, за да се постигне реподжакинг. По-конкретно той включва следните стъпки –

  • Жертвата притежава пространството от имена „victim_user/repo“
  • Жертвата преименува „victim_user“ на „renamed_user“.
  • Хранилището „victim_user/repo“ вече е оттеглено
    Участник в заплахата с потребителско име „attacker_user“ едновременно създава хранилище, наречено „repo“, и преименува потребителското име „attacker_user“ на „victim_user“

Последната стъпка се осъществява с помощта на API заявка за създаване на хранилище и прихващане на заявка за преименуване за промяна на потребителското име. Разработката идва близо девет месеца след като GitHub поправи подобен недостатък в заобикалянето, който можеше да отвори вратата за атаки от типа repojacking.

„Откриването на тази нова уязвимост в операциите за създаване на хранилище и преименуване на потребителско име на GitHub подчертава постоянните рискове, свързани с механизма за „пенсиониране на популярното пространство от имена на хранилища“,“ каза Рапопорт.

 

Източник: The Hacker News

Подобни публикации

22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
22 януари 2025

Ботнетът Murdoc, вариант на Mirai, експлоатира ...

Изследователи в областта на киберсигурността предупредиха за нова ш...
22 януари 2025

13 000 рутера MikroTik от цял свят са превзети ...

Глобална мрежа от около 13 000 отвлечени маршрутизатора Mikrotik е ...
21 януари 2025

ИИ в киберсигурността: 20 години иновации

Изкуственият интелект се превърна в ключов фактор в много сектори, ...
21 януари 2025

Злоупотреба с услугите на Microsoft за първонач...

Наблюдавани са две отделни заплахи, които злоупотребяват с услугите...
21 януари 2025

2025: Управление на повърхността на атаката

Бизнес трансформацията предефинира управлението на повърхността на ...
Бъдете социални
Още по темата
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
15/01/2025

Adobe: Критични дефекти при...

Във вторник производителят на софтуер Adobe...
09/01/2025

Ivanti предупреждава за нов...

В сряда изпадналият в затруднение доставчик...
Последно добавени
22/01/2025

Бомбени заплахи в училища о...

Десетки училища в цялата страна получихабомбени...
22/01/2025

Хиперволуметричните DDoS ат...

Най-голямата до момента разпределена атака за...
22/01/2025

Тръмп уволнява Съвета за ки...

В писмо, изпратено днес, изпълняващият длъжността...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!