Legit Security מגלה פגיעויות הסלמת הרשאות ב-GitHub ומזהירה ארגונים מפני התקפות פוטנציאליות על שרשרת האספקה ​​של התוכנה

דרוג:

 

 

Legit Security מגלה פגיעויות הסלמת הרשאות ב-GitHub ומזהירה ארגונים מפני התקפות פוטנציאליות על שרשרת האספקה ​​של התוכנה

 

תל אביב, 12 באפריל 2022, (GLOBE NEWSWIRE) :

 

Legit Security, חברת אבטחת סייבר עם פלטפורמת תוכנה כשירות ארגונית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה היום על השיפה אחראית של פגיעויות הסלמת הרשאות GitHub-Actions שנמצאו לאחרונה. פגיעויות אלו פותחות את הדלת להתקפות שרשרת אספקת התוכנה בהן תוקף יכול להשתלט על תהליך בניית התוכנה של הארגון כדי לשבש פעולות פנימיות או כדי להטמיע בתוכנה קוד שנשלט על ידי התוקף או דלתות אחוריות, באופן שמעמיד לקוחות במורד הזרם בסיכון. מוקדם יותר השנה, Legit Security הכריזה על הערכת סיכונים מהירה בחינם לארגונים כדי לקבל תובנה מיידית לגבי פגיעויות בכל שרשרת אספקת התוכנה שלהם, כולל הנושא האחרון. בתגובה לבעיה המסוימת הזו של GitHub, Legit Security פרסמה באתר שלה בלוג גילוי טכני הכולל הנחיות מפורטות לארגונים כיצד לתקן זאת.

הפגיעויות התגלו בזרימות העבודה של GitHub-Actions, שהוא שירות בניית התוכנה של מערכת ניהול קוד המקור ב-GitHub הפופולרית ביותר, שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה בכל רחבי העולם. GitHub משמשת בעיקר עבור בקרת גרסאות תוכנה, ניהול שינויים בקוד המקור של המשתמשים והוראות בניית תוכנה - הפעולות שניתן לנצל עם הפגיעויות שהתגלו לאחרונה. האתגר של אבטחת שרשראות אספקת התוכנה, לרבות הצינורות, המערכות, הקוד והאנשים שבתוכו, קיבל נראות וחשיבות רבה יותר בשל כמה התקפות בפרופיל גבוה לאחרונה. Legit Security פיתחה פלטפורמת אבטחה ייעודית כדי להגן על סביבת שרשרת אספקת התוכנה מקצה לקצה כדי לתת מענה לצורך הגובר הזה.

"המשימה והמטרה שלנו ביצירת Legit Security היא לסייע בהגנה על ארגונים מפני התקפות של שרשרת אספקת תוכנה", אמר ליאב כספי, המנהל הטכני ראשי, ומייסד שותף של Legit Security. "נוף האיומים משתנה כל הזמן, וחוקרי האבטחה הפנימיים שלנו עוקבים ללא הרף אחר שיטות אבטחה מומלצות בכל התעשייה, כולל חיפוש אחר איומים חדשים. אנו תורמים באופן פעיל לקהילת אבטחת הסייבר הרחבה יותר כדי לשפר את החוסן מפני התקפות מזיקות אלו, וגם להטמיע את הממצאים הללו ואת שיטות האבטחה המומלצות במאות פרטי מדיניות אבטחה הניתנות לאכיפה בפלטפורמת Legit Security שלנו."

לפי גרטנר, 45% מהארגונים ברחבי העולם יחוו התקפות על שרשראות אספקת התוכנה שלהם עד 2025, עלייה של פי שלושה מ-2021. פריצות בידי פושעי סייבר או השתלטות על שרשרת אספקת התוכנה של ארגון הביאו למתקפות סייבר רבות בפרופיל גבוה בשנים האחרונות כולל SolarWinds, Codecov, Kaseya, NotPetya ואחרים.

"החששות לגבי גמישות שרשרת אספקת התוכנה כבר אינן של מובילי אבטחת ה-IT בלבד, אלא גם של המנהלים העסקיים וחדר הדירקטוריון", אמר רוני פוקס, מנכ"ל Legit Security. "מניעת התקפות שעלולות ליצור הרס בפעילות הפנימית, לחדור לתוכנה הארגונית, לסכן לקוחות ולשבש מודלים עסקיים דיגיטליים שלמים ראויה שתהיה בעדיפות הגבוהה ביותר שלהם. אנו גאים לעזור לארגונים עם הנחיות לשיטות עבודה מומלצות ולהציע גם פלטפורמת אבטחה שמטפלת בנקודות התורפה הללו וגם מאפשרת לארגונים לעשות זאת ביעילות ובקנה מידה מתאים".

Legit Security העבירה את המידע על חשיפת הפגיעות הזו בהרשאות צינורות המידע של GitHub ל-GitHub. צוות מחקר האבטחה הפנימית של Legit Security דגמה מאגרי GitHub פופולריים מאוד עם דירוג של למעלה מ-1,000 כוכבים ומצא ברבים מהם את הפגיעות הזו. Legit Security פנתה ישירות לאותם אתרים מושפעים, כולל ספק עם אחד ממוצרי שרתי הקוד הפתוח הפופולריים בעולם המשמשים להפעלת מאות מיליוני אתרים, והספק הזה הצליח לתקן את הפגיעות למחרת.

למידע מפורט כיצד להגן על הארגון שלכם מפני הסלמה זו של בהרשאות GitHub, בקרו בבלוג החשיפה הטכנית של Legit Security. אם אתם מעוניינים לקבל הערכת סיכונים מהירה יסודית ללא עלות, אנא הגישו את בקשתכם כאן.

אודות Legit Security

Legit Security מגינה על שרשראות אספקת התוכנה מפני התקפה על ידי גילוי ואבטחת הצינורות, התשתית, הקוד והאנשים באופן אוטומטי, כך שעסקים יכולים להישאר בטוחים ובה בעת לאפשר שחרור תוכנה מהיר. Legit מספקת פתרון תוכנה כשירות קל ליישום התומך במשאבים בענן ובאופן מקומי ומשלב יכולות גילוי וניתוח אוטומטיים עם מאות מדיניות אבטחה שפותחו בידי מומחי תעשייה עם ניסיון אמיתי באבטחת SDLC. פתרון משולב זה שומר על אבטחת מפעל התוכנה שלך ומספק ביטחון מתמשך שהיישומים שלכם מושקים ללא פגיעויות.

 

קשרי מדיה

 

Media Contact
Tony Keller
OutVox
[email protected]

 

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

העדשות הכפולות של C30 Dual מעניקות להורים יד מסייעת IMILAB, מובילה בטכנולוגיית בית חכם, תשיק את IMILAB
BlinkOps משיקה את הפלטפורמה הראשונה ללא קוד לבניית סוכני אבטחה עבור צוותים ארגוניים BlinkOps, הפלטפורמה המובילה בתחום האוטומציה של האב
Imricor מתחילה בניסוי VISABL-VT ‏ Imricor Medical Systems, Inc. ("החברה" או Imrico
HYCU® חושפת את R-Shield™ כדי לספק כיסוי חוסן סייבר מוחלט עבור סביבות תוכנה כשירות, מחשוב ענן וגם סביבות IT מקומיות HYCU, Inc, מובילה בתחום ההגנה על נתונים מודרניים ע
81% מצוותי אבטחת הסייבר רואים באוטומציית אבטחה מבוססת בינה מלאכותית עדיפות אסטרטגית – חשיפה של סקר שנערך על ידי BlinkOps BlinkOps, פלטפורמת אוטומציית האבטחה המובילה בשוק,
חברת הסטרטאפ Axibo AI מווטרלו הבטיחה 12 מיליון דולר כדי להיות חלוצה בפיתוח רובוטים דמוי אדם ש-'מיוצרים בקנדה' Axibo Inc, חברה חדשנית בתחום הרובוטיקה שפועלת מווט
ניצחונות לבינה המלאכותית בתחרות הנחשבת ביותר לרחפנים אוטונומיים באבו דאבי ליגת המרוצים לרחפנים אוטונומיים של אבו דאבי (A2RL)
OMP ממוקמת גבוה מכולן בקטגוריית יכולת הביצוע ב-Gartner® Magic Quadrant™ לשנת 2025 עבור פתרונות תכנון שרשרת אספקה OMP, מובילה עולמית בפתרונות תכנון שרשרת אספקה, הוכ
AI-Media חושפת את LEXI Voice בתערוכת NAB 2025 - זמין גלובלית עם תרגום קולי מועצם בינה מלאכותית AI-Media (ASX: AIM), מובילה עולמית בטכנולוגיית כתו
Zoom Workplace for Frontline זמין כעת כדי לשפר את התקשורת במשמרת ואת ניהול העבודה לעובדים בשטח Zoom Communications, Inc (נאסד"ק: ZM) הכריזה היום
GA-ASI מכריזה על השקעות טכנולוגיות מאירוע Blue Magic Netherlands General Atomics Aeronautical Systems, Inc (GA-ASI)
VeriSilicon משיקה מעבד גרפי OpenGL ES עם צריכת הספק נמוכה ביותר וביצועי 3D/2.5D היברידיים להתקנים לבישים VeriSilicon (688521.SH) הכריזה היום על השקת GCNano
VeriSilicon חושפת את VC9000D_LCEVC: מפענח וידאו LCEVC יעיל במיוחד התומך ב-8K Ultra HD ‏VeriSilicon (688521.SH) הכריזה היום על השקת VC900
Gradiant זוכה בפרס הזהב בטקס פרסי Edison לשנת 2025 עבור ForeverGone PFAS Removal and Destruction ‏Gradiant, חברה מובילה בעולם בתחום הטיפול המתקדם ב
SolarWinds מציגה באירועים הגלובליים של GITEX 2025 ‏SolarWinds (NYSE:SWI), ספקית מובילה של תוכנה פשוט
ExaGrid מרעננת את משפחת המוצרים שלה בדגמים חדשים ומוציאה את גרסה 7.2.0 ExaGrid®, הספקית של הפתרון היחיד בענף לאחסון גיבוי
GA-ASI חתמה על עסקת שיתוף פעולה עם Hanwha מדרום קוריאה General Atomics Aeronautical Systems, Inc. (GA-ASI
Bitget משיקה את Bitget Onchain כדי להעניק למשתמשי CEX גישה מוקדמת לנכסי בלוקצ'יין מבטיחים Bitget, הבורסה המובילה למטבעות קריפטוגרפים וחברת ה
DPI מקבלת את אישור ISO 27001 היוקרתי על ניהול אבטחת מידע ‏Datalec Precision Installations (DPI), ספקית מובי
GA-ASI מרחיבה את יכולת הכיוון למטה עבור MQ-9B SeaGuardian® General Atomics Aeronautical Systems, Inc (GA-ASI)
הוסף תגובה 
תגובות  ( תגובות)