jeudi, 23 mai 2024

Des millions de référentiels GitHub vulnérables au RepoJacking : rapport

Crédit : Gerd Altmann

D’innombrables référentiels GitHub sont susceptibles de RepoJacking, ce qui permet un ennemi pour effectuer l’exécution de code sur les environnements internes des organisations ou sur les environnements de leurs consommateurs, selon les recherches d’AquaSec.

AquaSec a évalué un échantillon de 1,25 million de référentiels GitHub et a découvert qu’environ 2,95 % d’entre eux étaient sensibles au RepoJacking, composé de référentiels appartenant à des entreprises telles que Google et Lyft.

Qu’est-ce que le RepoJacking ?

Sur GitHub, les organisations ont des noms d’utilisateur et des noms de référentiel. Dans des cas tels qu’un changement de direction ou une nouvelle marque, etc., l’organisation peut modifier le nom d’utilisateur et/ou le nom du référentiel sur GitHub.

Cela développe une redirection pour empêcher la rupture des dépendances pour les projets utilisant du code provenant de référentiels qui ont changé leur nom. Cependant, si quelqu’un enregistre l’ancien nom, cette redirection devient nulle.

Une attaque dans laquelle l’agresseur enregistre un nom d’utilisateur et crée un référentiel utilisé par une organisation dans le passé mais a changé son nom est appelée RepoJacking .

Cela oblige tout travail ou code qui dépend des dépendances du travail attaqué à récupérer les dépendances et le code du référentiel contrôlé par l’attaquant, ce qui pourrait inclure des logiciels malveillants.

GitHub a certains limitations pour empêcher l’ennemi d’ouvrir l’ancien nom de référentiel.

« Néanmoins, ils ne sont utilisés que sur les référentiels populaires qui étaient populaires avant le changement de nom, et récemment les chercheurs ont trouvé de nombreux contournements de ces restrictions permettant aux agresseurs d’ouvrir n’importe quel référentiel qu’ils désirent », a déclaré AquaSec.

Technique d’étude de recherche d’AquaSec

AquaSec a téléchargé tous les journaux de GHTorrent du référentiel GitHub pour juin 2019 et a compilé une liste de 125 millions de noms de référentiels spéciaux. Ils ont ensuite échantillonné 1 % (1,25 million de noms de dépôts) et examiné chacun d’entre eux pour voir s’il était vulnérable au RepoJacking.

« Nous avons découvert que 36 983 dépôts étaient sensibles au RepoJacking ! C’est un taux de réussite de 2,95 % », a déclaré AquaSec.

GHTorrent est un site Web qui fournit l’historique complet des journaux des dépôts GitHub.

Exploitation potentielle due à la vulnérabilité RepoJacking

AquaSec a découvert des sociétés composées de Google et Lyft composées de référentiels sensibles et a décrit l’exploitation possible dans leurs cas.

Pour Google, AquaSec a découvert un fichier Lisez-moi contenant des instructions sur la construction d’un projet appelé Mathsteps pointant vers un référentiel GitHub appartenant à Socratic, une entreprise que Google a obtenue en 2018 et qui n’existe plus.

En utilisant la vulnérabilité, un adversaire peut cloner cela référentiel pour interrompre la redirection. Cela peut amener les utilisateurs à accéder à un fichier contenant un code nuisible inséré par l’agresseur.

La société de cybersécurité a en outre observé que les directives incluaient une commande de configuration pour la dépendance. Le code de l’attaquant peut parvenir à une exécution approximative du code sur les appareils des utilisateurs imprudents.

Pour Lyft, AquaSec a découvert un script de configuration sur le référentiel de l’entreprise qui apporte une archive ZIP d’un autre référentiel, qui était vulnérable au RepoJacking. Cela signifiait que les agresseurs pouvaient injecter automatiquement leur code nuisible dans n’importe quel script d’installation de Lyft.

Google et Lyft ont résolu le problème.

Protéger les référentiels

AquaSec encourage les organisations à examiner régulièrement leurs référentiels pour tout lien susceptible d’apporter des ressources à partir de référentiels GitHub externes, car les recommandations pour des tâches telles que le module Go peuvent modifier leur nom à tout moment .

« Si vous changez le nom de votre organisation, assurez-vous que vous possédez toujours l’ancien nom également, même en tant qu’espace réservé, pour éviter que des adversaires ne le créent », a déclaré AquaSec.

Le les chercheurs avertissent que beaucoup plus d’organisations qu’ils n’ont pas évaluées pourraient également être vulnérables. « Il est important de noter que notre analyse n’a couvert qu’une partie des informations disponibles, ce qui indique qu’il existe de nombreuses autres organisations vulnérables, y compris peut-être la vôtre », a déclaré AquaSec.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline