Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

דרוג:

 

 

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

 

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

 

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

 

קשרי מדיה

 

Tony Keller

[email protected]

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

EZVIZ פורצת דרך באבטחה חיצונית עם משפחת מצלמות מבוססות סוללה עם 4G ו-Wi-Fi, ומתמודדת עם אתגרים יומיומיים עם השראה לתרחישים חדשים, מבתים ועד לטבע EZVIZ, הידועה בזכות עיצוב מחדש של נוף האבטחה החכמה
Atos מוקמה כמובילה ב- IDC MarketScape™: הערכת ספקים בניהול זיהוי ותגובה (MDR) במזרח התיכון לשנת 2025 Atos דורגה בקטגוריית המובילים בדו"ח IDC MarketScap
חברת F5 ממנה את ליאור חן למנהל השותפים וההפצה של F5 בישראל, יוון, קפריסין והרשות חברת F5 ממנה את ליאור חן (43, נשוי+3) למנהל השותפי
כשהביקוש לאודיו/וידאו רב-לשוני מאיץ, AI-Media תציג לראווה תזרימי עבודה לתרגום ונגישות בזמן אמת ב-ISE 2026 AI-Media, מובילה עולמית בפתרונות יצירת כתוביות ושפ
Advantest Corporation בחרה ב-Anaqua לקידום ניהול הקניין הרוחני הגלובלי שלה Anaqua, ספקית מובילה של פתרונות ושירותים טכנולוגיי
Datavault AI מודיעה על הסכם עם Sports Illustrated לפיתוח פלטפורמת החלפת נכסים דיגיטליים קניינית המתמקדת בספורט Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
CSG זכתה להכרה בדוחות אנליסטים מהימנים במגוון קטגוריות עבור CPQ, מונטיזציה וניהול שותפים דיגיטלי ספקי שירותי תקשורת (CSP) נתונים ללחץ לפשט את המורכ
אליפות הרחפנים A2RL מכתיבה את הקצב ל-AI בטיסה אוטונומית אליפות הרחפנים של ליגת המרוצים האוטונומית של אבו ד
פרס יפן לשנת 2026 הוענק לשני מדענים אמריקאים ולמדען יפני אחד קרן פרס יפן (Japan Prize Foundation) הודיעה על הזו
Datavault AI תתמוך בהקמת מרכז מחקר בינלאומי המתמקד בדיגיטציה של נכסי עולם אמיתי בטייוואן Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
HUMAIN ו-Infra מכריזות על הסכם מסגרת למימון דיגיטלי ובינה מלאכותית ‏HUMAIN וקרן התשתיות הלאומית ("Infra") הודיעו, בשו
מאיץ התביעות של Quantexa זמין כעת ב-Guidewire Marketplace, ומביא מודיעין לקבלת החלטות בזמן אמת לשוק תביעות הביטוח Quantexa, חלוצה עולמית בתחום המודיעין לקבלת החלטות
Datavault AI Inc משלימה את רכישת API Media Datavault AI Inc (נאסד"ק: DVLT) ("Datavault AI" או
ExaGrid מכריזה על פתרון אחסון גיבוי מדורג All Flash/SSD - ExaGrid®בעלת הפתרון היחיד בתעשייה לאחסון גיבוי ר
המכון לחדשנות טכנולוגית TII והפורום הכלכלי העולמי מכריזים על הקמת 'מרכז אבו דאבי לטכנולוגיות קצה' בדאבוס המכון לחדשנות טכנולוגית (TII), זרוע המחקר היישומי
SIRBAI משיקה את טכנולוגיית נחיל הרחפנים האוטונומית הראשונה במזרח התיכון המופעלת על ידי בינה מלאכותית בתערוכת UMEX 2026 חברת SIRBAI הודיעה היום על ההשקה הרשמית של טכנולוג
GA-ASI ו-Calidus חתמו על מזכר הבנות לשיתוף פעולה בייצור משותף של מטוסי הקרב השיתופיים MQ-9B ו-Gambit General Atomics Aeronautical Systems, Inc (GA-ASI)
ScyllaDB מביאה חיפוש וקטורי בקנה מידה גדול לבינה מלאכותית בזמן אמת ScyllaDB הכריזה על הזמינות הכללית של החיפוש הווקטו
הפתרון מאחורי הצוותים הגלובליים המובילים בעולם: Holafly for Business משיקה את התוכנית העולמית הקבועה הראשונה שמסיימת את הנדידה עבור חברות Holafly, מהשחקניות הגדולות בשוק הסים האלקטרוני (eS
VWO ו-AB Tasty מאחדות כוחות כדי להגדיר מחדש את העתיד של מיטוב חוויית הגלישה הדיגיטלית VWO ו-AB Tasty, שתי חלוצות בתחום המיטוב, חתמו על ה
הוסף תגובה 
תגובות  ( תגובות)