Legit Security מגלה פגיעויות הסלמת הרשאות ב-GitHub ומזהירה ארגונים מפני התקפות פוטנציאליות על שרשרת האספקה ​​של התוכנה

דרוג:

 

 

Legit Security מגלה פגיעויות הסלמת הרשאות ב-GitHub ומזהירה ארגונים מפני התקפות פוטנציאליות על שרשרת האספקה ​​של התוכנה

 

תל אביב, 12 באפריל 2022, (GLOBE NEWSWIRE) :

 

Legit Security, חברת אבטחת סייבר עם פלטפורמת תוכנה כשירות ארגונית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה היום על השיפה אחראית של פגיעויות הסלמת הרשאות GitHub-Actions שנמצאו לאחרונה. פגיעויות אלו פותחות את הדלת להתקפות שרשרת אספקת התוכנה בהן תוקף יכול להשתלט על תהליך בניית התוכנה של הארגון כדי לשבש פעולות פנימיות או כדי להטמיע בתוכנה קוד שנשלט על ידי התוקף או דלתות אחוריות, באופן שמעמיד לקוחות במורד הזרם בסיכון. מוקדם יותר השנה, Legit Security הכריזה על הערכת סיכונים מהירה בחינם לארגונים כדי לקבל תובנה מיידית לגבי פגיעויות בכל שרשרת אספקת התוכנה שלהם, כולל הנושא האחרון. בתגובה לבעיה המסוימת הזו של GitHub, Legit Security פרסמה באתר שלה בלוג גילוי טכני הכולל הנחיות מפורטות לארגונים כיצד לתקן זאת.

הפגיעויות התגלו בזרימות העבודה של GitHub-Actions, שהוא שירות בניית התוכנה של מערכת ניהול קוד המקור ב-GitHub הפופולרית ביותר, שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה בכל רחבי העולם. GitHub משמשת בעיקר עבור בקרת גרסאות תוכנה, ניהול שינויים בקוד המקור של המשתמשים והוראות בניית תוכנה - הפעולות שניתן לנצל עם הפגיעויות שהתגלו לאחרונה. האתגר של אבטחת שרשראות אספקת התוכנה, לרבות הצינורות, המערכות, הקוד והאנשים שבתוכו, קיבל נראות וחשיבות רבה יותר בשל כמה התקפות בפרופיל גבוה לאחרונה. Legit Security פיתחה פלטפורמת אבטחה ייעודית כדי להגן על סביבת שרשרת אספקת התוכנה מקצה לקצה כדי לתת מענה לצורך הגובר הזה.

"המשימה והמטרה שלנו ביצירת Legit Security היא לסייע בהגנה על ארגונים מפני התקפות של שרשרת אספקת תוכנה", אמר ליאב כספי, המנהל הטכני ראשי, ומייסד שותף של Legit Security. "נוף האיומים משתנה כל הזמן, וחוקרי האבטחה הפנימיים שלנו עוקבים ללא הרף אחר שיטות אבטחה מומלצות בכל התעשייה, כולל חיפוש אחר איומים חדשים. אנו תורמים באופן פעיל לקהילת אבטחת הסייבר הרחבה יותר כדי לשפר את החוסן מפני התקפות מזיקות אלו, וגם להטמיע את הממצאים הללו ואת שיטות האבטחה המומלצות במאות פרטי מדיניות אבטחה הניתנות לאכיפה בפלטפורמת Legit Security שלנו."

לפי גרטנר, 45% מהארגונים ברחבי העולם יחוו התקפות על שרשראות אספקת התוכנה שלהם עד 2025, עלייה של פי שלושה מ-2021. פריצות בידי פושעי סייבר או השתלטות על שרשרת אספקת התוכנה של ארגון הביאו למתקפות סייבר רבות בפרופיל גבוה בשנים האחרונות כולל SolarWinds, Codecov, Kaseya, NotPetya ואחרים.

"החששות לגבי גמישות שרשרת אספקת התוכנה כבר אינן של מובילי אבטחת ה-IT בלבד, אלא גם של המנהלים העסקיים וחדר הדירקטוריון", אמר רוני פוקס, מנכ"ל Legit Security. "מניעת התקפות שעלולות ליצור הרס בפעילות הפנימית, לחדור לתוכנה הארגונית, לסכן לקוחות ולשבש מודלים עסקיים דיגיטליים שלמים ראויה שתהיה בעדיפות הגבוהה ביותר שלהם. אנו גאים לעזור לארגונים עם הנחיות לשיטות עבודה מומלצות ולהציע גם פלטפורמת אבטחה שמטפלת בנקודות התורפה הללו וגם מאפשרת לארגונים לעשות זאת ביעילות ובקנה מידה מתאים".

Legit Security העבירה את המידע על חשיפת הפגיעות הזו בהרשאות צינורות המידע של GitHub ל-GitHub. צוות מחקר האבטחה הפנימית של Legit Security דגמה מאגרי GitHub פופולריים מאוד עם דירוג של למעלה מ-1,000 כוכבים ומצא ברבים מהם את הפגיעות הזו. Legit Security פנתה ישירות לאותם אתרים מושפעים, כולל ספק עם אחד ממוצרי שרתי הקוד הפתוח הפופולריים בעולם המשמשים להפעלת מאות מיליוני אתרים, והספק הזה הצליח לתקן את הפגיעות למחרת.

למידע מפורט כיצד להגן על הארגון שלכם מפני הסלמה זו של בהרשאות GitHub, בקרו בבלוג החשיפה הטכנית של Legit Security. אם אתם מעוניינים לקבל הערכת סיכונים מהירה יסודית ללא עלות, אנא הגישו את בקשתכם כאן.

אודות Legit Security

Legit Security מגינה על שרשראות אספקת התוכנה מפני התקפה על ידי גילוי ואבטחת הצינורות, התשתית, הקוד והאנשים באופן אוטומטי, כך שעסקים יכולים להישאר בטוחים ובה בעת לאפשר שחרור תוכנה מהיר. Legit מספקת פתרון תוכנה כשירות קל ליישום התומך במשאבים בענן ובאופן מקומי ומשלב יכולות גילוי וניתוח אוטומטיים עם מאות מדיניות אבטחה שפותחו בידי מומחי תעשייה עם ניסיון אמיתי באבטחת SDLC. פתרון משולב זה שומר על אבטחת מפעל התוכנה שלך ומספק ביטחון מתמשך שהיישומים שלכם מושקים ללא פגיעויות.

 

קשרי מדיה

 

Media Contact
Tony Keller
OutVox
[email protected]

 

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

EZVIZ פורצת דרך באבטחה חיצונית עם משפחת מצלמות מבוססות סוללה עם 4G ו-Wi-Fi, ומתמודדת עם אתגרים יומיומיים עם השראה לתרחישים חדשים, מבתים ועד לטבע EZVIZ, הידועה בזכות עיצוב מחדש של נוף האבטחה החכמה
Atos מוקמה כמובילה ב- IDC MarketScape™: הערכת ספקים בניהול זיהוי ותגובה (MDR) במזרח התיכון לשנת 2025 Atos דורגה בקטגוריית המובילים בדו"ח IDC MarketScap
חברת F5 ממנה את ליאור חן למנהל השותפים וההפצה של F5 בישראל, יוון, קפריסין והרשות חברת F5 ממנה את ליאור חן (43, נשוי+3) למנהל השותפי
כשהביקוש לאודיו/וידאו רב-לשוני מאיץ, AI-Media תציג לראווה תזרימי עבודה לתרגום ונגישות בזמן אמת ב-ISE 2026 AI-Media, מובילה עולמית בפתרונות יצירת כתוביות ושפ
Advantest Corporation בחרה ב-Anaqua לקידום ניהול הקניין הרוחני הגלובלי שלה Anaqua, ספקית מובילה של פתרונות ושירותים טכנולוגיי
Datavault AI מודיעה על הסכם עם Sports Illustrated לפיתוח פלטפורמת החלפת נכסים דיגיטליים קניינית המתמקדת בספורט Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
CSG זכתה להכרה בדוחות אנליסטים מהימנים במגוון קטגוריות עבור CPQ, מונטיזציה וניהול שותפים דיגיטלי ספקי שירותי תקשורת (CSP) נתונים ללחץ לפשט את המורכ
אליפות הרחפנים A2RL מכתיבה את הקצב ל-AI בטיסה אוטונומית אליפות הרחפנים של ליגת המרוצים האוטונומית של אבו ד
פרס יפן לשנת 2026 הוענק לשני מדענים אמריקאים ולמדען יפני אחד קרן פרס יפן (Japan Prize Foundation) הודיעה על הזו
Datavault AI תתמוך בהקמת מרכז מחקר בינלאומי המתמקד בדיגיטציה של נכסי עולם אמיתי בטייוואן Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
HUMAIN ו-Infra מכריזות על הסכם מסגרת למימון דיגיטלי ובינה מלאכותית ‏HUMAIN וקרן התשתיות הלאומית ("Infra") הודיעו, בשו
מאיץ התביעות של Quantexa זמין כעת ב-Guidewire Marketplace, ומביא מודיעין לקבלת החלטות בזמן אמת לשוק תביעות הביטוח Quantexa, חלוצה עולמית בתחום המודיעין לקבלת החלטות
Datavault AI Inc משלימה את רכישת API Media Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
ExaGrid מכריזה על פתרון אחסון גיבוי מדורג All Flash/SSD - ExaGrid®בעלת הפתרון היחיד בתעשייה לאחסון גיבוי ר
המכון לחדשנות טכנולוגית TII והפורום הכלכלי העולמי מכריזים על הקמת 'מרכז אבו דאבי לטכנולוגיות קצה' בדאבוס המכון לחדשנות טכנולוגית (TII), זרוע המחקר היישומי
SIRBAI משיקה את טכנולוגיית נחיל הרחפנים האוטונומית הראשונה במזרח התיכון המופעלת על ידי בינה מלאכותית בתערוכת UMEX 2026 חברת SIRBAI הודיעה היום על ההשקה הרשמית של טכנולוג
GA-ASI ו-Calidus חתמו על מזכר הבנות לשיתוף פעולה בייצור משותף של מטוסי הקרב השיתופיים MQ-9B ו-Gambit General Atomics Aeronautical Systems, Inc (GA-ASI)
ScyllaDB מביאה חיפוש וקטורי בקנה מידה גדול לבינה מלאכותית בזמן אמת ScyllaDB הכריזה על הזמינות הכללית של החיפוש הווקטו
הפתרון מאחורי הצוותים הגלובליים המובילים בעולם: Holafly for Business משיקה את התוכנית העולמית הקבועה הראשונה שמסיימת את הנדידה עבור חברות Holafly, מהשחקניות הגדולות בשוק הסים האלקטרוני (eS
VWO ו-AB Tasty מאחדות כוחות כדי להגדיר מחדש את העתיד של מיטוב חוויית הגלישה הדיגיטלית VWO ו-AB Tasty, שתי חלוצות בתחום המיטוב, חתמו על ה
הוסף תגובה 
תגובות  ( תגובות)