Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

דרוג:

 

 

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

 

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

 

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

 

קשרי מדיה

 

Tony Keller

[email protected]

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

GE HealthCare ו-FPT מרחיבות את השותפות האסטרטגית לקידום חדשנות מבוססת בינה מלאכותית בתחום הבריאות חברת ה-IT הגלובלית FPT וחברת GE HealthCare הכריז
NIQ חושפת את דו"ח מגמות הצרכנות בענף הטכנולוגיה לשנת 2025: היקף המכירות הגלובלי מגיע ל-1.29 טריליון דולר ‏NielsenIQ (NIQ), חברה מובילה למודיעין צרכנים, פרס
VeriSilicon משיקה את ISP9000: הדור הבא של ISP משובץ בינה מלאכותית ליישומי ראייה חכמה ‏VeriSilicon (688521.SH) חשפה היום את מעבד התמונה
ExaGrid ברשימת המועמדות הסופיות בקטגוריית פרסי האחסון 2025 ‏ExaGrid®, הספקית של הפתרון היחיד בענף לאחסון גיב
AI-Media משתפת פעולה עם AudioShake כדי לחולל מהפכה עבור שמע בשידורי ספורט חיים ותרגום קולי מבוסס בינה מלאכותית AI-Media, מובילה עולמית בפתרונות תרגום וכתוביות מב
Picus Security מכריזה כי זכתה להכרה ב-Gartner® Market Guide לאימות חשיפה של יריבים Picus Security, חברת אימות האבטחה המובילה, הודיעה
Movellus ו-SEAKR Engineering של RTX משתפות פעולה לקידום ייצור ASIC קריטי למשימה Movellus הודיעה היום ש-SEAKR Engineering, LLC מבית
VeriSilicon מציגה את AcuityPercept: מערכת ISP אוטומטית המופעלת על ידי בינה מלאכותית ‏VeriSilicon (688521.SH) הכריזה על AcuityPercept,
BYD Energy Storage משיקה את Chess Plus עבור אחסון אנרגיה מסחרי ותעשייתי בסין BYD Energy Storage, חטיבה עסקית של BYD Company Lim
LEXI Voice מגיע: AI-Media משיקה תרגום קולי פורץ דרך מבוסס בינה מלאכותית ב-NAB 2025 AI-Media, מובילה עולמית בפתרונות תרגום וכתוביות מב
ExaGrid ברשימת המועמדות הסופיות לפרסי האחסון 2025 ‏ExaGrid® , הספקית של הפתרון היחיד בענף לאחסון גיב
Lantronix משיקה מערכת על מודול Open-Q 8550CS חדשה שנועדה לספק מענה לצרכים של מחשוב בינה מלאכותית בקצה Lantronix Inc. לנטרוניקס (נאסד"ק: LTRX), מובילה עו
Xsolla מרחיבה את מחויבותה לפיתוח משחקי וידאו באמריקה הלטינית עם התוכנית Journey of Indies (JOIN) Xsolla, מובילה עולמית העוסקת בסחר במשחקי וידאו, גא
Xsight Labs מחוללת מפכה בשוק מתגי האתרנט עם ארכיטקטורה פתוחה ראשונה מסוגה Xsight Labs, חברה מובילה לתכנון ושיווק של מוליכים
ExaGrid זכתה לכבוד בהופעתה במדריך תוכניות השותפים של CRN® לשנת 2025 ‏ExaGrid® , הספקית של הפתרון היחיד בענף לאחסון גיב
MDS Global מבטיחה שותפות אסטרטגית עם PlatformX Communications (PXC) MDS Global, ספקית מובילה של מערכות תמיכה עסקיות (B
מהפכני: לשוחח עם דמות NSFW של חברה מבוססת בינה מלאכותית בעת שהביטויים לשימוש בבינה מלאכותית ממשיכים להשתנו
DEXIS תציג חידושים פורצי דרך ב-IDS 2025 DEXIS, המובילה העולמית בטכנולוגיות הדמיה דנטלית, נ
Bitget Wallet מציגה את Super DEX, חוויית עסקאות החלף משודרגת Bitget Wallet, אפליקציית ארנק ה-Web3 ללא משמורת המ
GA-ASI השיגה אישור EMAR/FR 145 לארגוני תחזוקה עבור הפלטפורמות MQ-9A ו-MQ-9B General Atomics Aeronautical Systems, Inc (GA-ASI)
הוסף תגובה 
תגובות  ( תגובות)