Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

דרוג:

 

 

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

 

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

 

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

 

קשרי מדיה

 

Tony Keller

[email protected]

 

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE

 

לפרטים נוספים: נוי תקשורת 03-6026026 זהר 052-2641769


תגיות של המאמר: Legit Security |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

העדשות הכפולות של C30 Dual מעניקות להורים יד מסייעת IMILAB, מובילה בטכנולוגיית בית חכם, תשיק את IMILAB
BlinkOps משיקה את הפלטפורמה הראשונה ללא קוד לבניית סוכני אבטחה עבור צוותים ארגוניים BlinkOps, הפלטפורמה המובילה בתחום האוטומציה של האב
Imricor מתחילה בניסוי VISABL-VT ‏ Imricor Medical Systems, Inc. ("החברה" או Imrico
HYCU® חושפת את R-Shield™ כדי לספק כיסוי חוסן סייבר מוחלט עבור סביבות תוכנה כשירות, מחשוב ענן וגם סביבות IT מקומיות HYCU, Inc, מובילה בתחום ההגנה על נתונים מודרניים ע
81% מצוותי אבטחת הסייבר רואים באוטומציית אבטחה מבוססת בינה מלאכותית עדיפות אסטרטגית – חשיפה של סקר שנערך על ידי BlinkOps BlinkOps, פלטפורמת אוטומציית האבטחה המובילה בשוק,
חברת הסטרטאפ Axibo AI מווטרלו הבטיחה 12 מיליון דולר כדי להיות חלוצה בפיתוח רובוטים דמוי אדם ש-'מיוצרים בקנדה' Axibo Inc, חברה חדשנית בתחום הרובוטיקה שפועלת מווט
ניצחונות לבינה המלאכותית בתחרות הנחשבת ביותר לרחפנים אוטונומיים באבו דאבי ליגת המרוצים לרחפנים אוטונומיים של אבו דאבי (A2RL)
OMP ממוקמת גבוה מכולן בקטגוריית יכולת הביצוע ב-Gartner® Magic Quadrant™ לשנת 2025 עבור פתרונות תכנון שרשרת אספקה OMP, מובילה עולמית בפתרונות תכנון שרשרת אספקה, הוכ
AI-Media חושפת את LEXI Voice בתערוכת NAB 2025 - זמין גלובלית עם תרגום קולי מועצם בינה מלאכותית AI-Media (ASX: AIM), מובילה עולמית בטכנולוגיית כתו
Zoom Workplace for Frontline זמין כעת כדי לשפר את התקשורת במשמרת ואת ניהול העבודה לעובדים בשטח Zoom Communications, Inc (נאסד"ק: ZM) הכריזה היום
GA-ASI מכריזה על השקעות טכנולוגיות מאירוע Blue Magic Netherlands General Atomics Aeronautical Systems, Inc (GA-ASI)
VeriSilicon משיקה מעבד גרפי OpenGL ES עם צריכת הספק נמוכה ביותר וביצועי 3D/2.5D היברידיים להתקנים לבישים VeriSilicon (688521.SH) הכריזה היום על השקת GCNano
VeriSilicon חושפת את VC9000D_LCEVC: מפענח וידאו LCEVC יעיל במיוחד התומך ב-8K Ultra HD ‏VeriSilicon (688521.SH) הכריזה היום על השקת VC900
Gradiant זוכה בפרס הזהב בטקס פרסי Edison לשנת 2025 עבור ForeverGone PFAS Removal and Destruction ‏Gradiant, חברה מובילה בעולם בתחום הטיפול המתקדם ב
SolarWinds מציגה באירועים הגלובליים של GITEX 2025 ‏SolarWinds (NYSE:SWI), ספקית מובילה של תוכנה פשוט
ExaGrid מרעננת את משפחת המוצרים שלה בדגמים חדשים ומוציאה את גרסה 7.2.0 ExaGrid®, הספקית של הפתרון היחיד בענף לאחסון גיבוי
GA-ASI חתמה על עסקת שיתוף פעולה עם Hanwha מדרום קוריאה General Atomics Aeronautical Systems, Inc. (GA-ASI
Bitget משיקה את Bitget Onchain כדי להעניק למשתמשי CEX גישה מוקדמת לנכסי בלוקצ'יין מבטיחים Bitget, הבורסה המובילה למטבעות קריפטוגרפים וחברת ה
DPI מקבלת את אישור ISO 27001 היוקרתי על ניהול אבטחת מידע ‏Datalec Precision Installations (DPI), ספקית מובי
GA-ASI מרחיבה את יכולת הכיוון למטה עבור MQ-9B SeaGuardian® General Atomics Aeronautical Systems, Inc (GA-ASI)
הוסף תגובה 
תגובות  ( תגובות)