Нови открития показват, че нова уязвимост в GitHub може да е изложила хиляди хранилища на риск от атаки от типа repojacking.
Недостатъкът „би могъл да позволи на атакуващия да се възползва от състезателно условие в операциите за създаване на хранилища и преименуване на потребителско име в GitHub“, казва изследователят по сигурността на Checkmarx Елад Рапопорт в технически доклад, споделен с The Hacker News.
„Успешното използване на тази уязвимост оказва влияние върху общността с отворен код, като позволява превземането на над 4000 пакета с код на езици като Go, PHP и Swift, както и на действия на GitHub.“
След отговорното разкриване на 1 март 2023 г. платформата за хостинг на код, собственост на Microsoft, е отстранила проблема на 1 септември 2023 г.
Repojacking, съкратено от repository hijacking (превземане на хранилище), е техника, при която заплахата може да заобиколи механизъм за сигурност, наречен популярно оттегляне на пространството от имена на хранилището, и в крайна сметка да контролира хранилището.
Това, което прави мярката за защита, е да попречи на други потребители да създадат хранилище със същото име като хранилището с повече от 100 клонинга в момента на преименуване на потребителския му акаунт. С други думи, комбинацията от потребителско име и име на хранилище се счита за „пенсионирана“.
Ако тази предпазна мярка бъде тривиално заобиколена, това може да даде възможност на заплахите да създават нови акаунти със същото потребителско име и да качват зловредни хранилища, което потенциално може да доведе до атаки по веригата за доставка на софтуер.
Новият метод, описан от Checkmarx, се възползва от потенциално условие за надпревара между създаването на хранилище и преименуването на потребителско име, за да се постигне реподжакинг. По-конкретно той включва следните стъпки –
Последната стъпка се осъществява с помощта на API заявка за създаване на хранилище и прихващане на заявка за преименуване за промяна на потребителското име. Разработката идва близо девет месеца след като GitHub поправи подобен недостатък в заобикалянето, който можеше да отвори вратата за атаки от типа repojacking.
„Откриването на тази нова уязвимост в операциите за създаване на хранилище и преименуване на потребителско име на GitHub подчертава постоянните рискове, свързани с механизма за „пенсиониране на популярното пространство от имена на хранилища“,“ каза Рапопорт.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.