安全研究人員發(fā)現(xiàn)了一個(gè)名為RepoJacking的重大漏洞，該漏洞影響了數(shù)百萬(wàn)個(gè)GitHub存儲(chǔ)庫(kù)。

根據(jù)Aqua Security Software上周發(fā)布的一份報(bào)告，RepoJacking允許攻擊者在組織內(nèi)部環(huán)境或客戶環(huán)境中執(zhí)行代碼。該公司確定了許多備受矚目的目標(biāo)，包括谷歌和Lyft等組織，并及時(shí)通知并降低了風(fēng)險(xiǎn)。

在技術(shù)報(bào)告中，這家安全公司解釋說(shuō)，當(dāng)攻擊者利用GitHub上的重命名功能時(shí)，RepoJacking就會(huì)發(fā)生，該功能會(huì)在新舊存儲(chǔ)庫(kù)名稱之間創(chuàng)建鏈接。

然后，攻擊者可以通過(guò)獲取舊的存儲(chǔ)庫(kù)名稱并將用戶重定向到其存儲(chǔ)庫(kù)來(lái)利用此漏洞，從而導(dǎo)致代碼執(zhí)行。

Tanium的首席安全顧問(wèn)Timothy Morris評(píng)論道:“只要有動(dòng)機(jī)和一些創(chuàng)造性的數(shù)字考古，任何人都可以挖掘出一些過(guò)去有價(jià)值的鏈接，這些鏈接并不古老，但現(xiàn)在正在運(yùn)行的代碼中積極使用。這些都是供應(yīng)鏈的弱點(diǎn)。安全團(tuán)隊(duì)和風(fēng)險(xiǎn)管理人員必須了解他們所有的軟件和依賴項(xiàng)來(lái)自哪里?！?/strong>

在他們的建議中，Aqua團(tuán)隊(duì)演示了不同的開(kāi)發(fā)場(chǎng)景，包括自動(dòng)下載、手動(dòng)下載和通過(guò)存儲(chǔ)庫(kù)發(fā)布執(zhí)行代碼。它還包括易受攻擊的存儲(chǔ)庫(kù)的現(xiàn)實(shí)例子。

為了編寫(xiě)他們的研究，這家安全公司利用了GHTorrent項(xiàng)目的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)記錄了GitHub上的公共事件，包括提交和拉取請(qǐng)求。

通過(guò)分析樣本數(shù)據(jù)集，他們從125萬(wàn)個(gè)樣本中確定了超過(guò)3.6萬(wàn)個(gè)易受攻擊的存儲(chǔ)庫(kù)。將這些數(shù)據(jù)外推到整個(gè)GitHub存儲(chǔ)庫(kù)基礎(chǔ)，估計(jì)可能有數(shù)百萬(wàn)個(gè)易受攻擊的存儲(chǔ)庫(kù)。

Netenrich的首席威脅獵人John Bambenek解釋說(shuō):“這凸顯了GitHub問(wèn)題之外的風(fēng)險(xiǎn)。如果所有的引用都沒(méi)有改變，那么任何對(duì)‘老’名字的引用都可以被其他人使用?！?/strong>

據(jù)該高管稱，GitHub存儲(chǔ)庫(kù)存在遠(yuǎn)程執(zhí)行或安裝后門(mén)的風(fēng)險(xiǎn)。值得注意的是，這種風(fēng)險(xiǎn)也延伸到其他資源，包括電子郵件地址和域名。

Bambenek總結(jié)道:“當(dāng)我們更多地轉(zhuǎn)向云資源和開(kāi)源時(shí)，我們并沒(méi)有真正考慮安全的解除供應(yīng)，在我們開(kāi)始處理這個(gè)問(wèn)題之前，它將繼續(xù)給我們帶來(lái)更大的困擾?！?/strong>

幾個(gè)月前，VulnCheck發(fā)現(xiàn)了一系列偽裝成合法安全研究項(xiàng)目的惡意GitHub存儲(chǔ)庫(kù)。

標(biāo)簽：