Skip to content

Cordyceps-zaafiused ohustavad üle 300 GitHub-repositooriumi suurettevõtete juures

Kokkuvõttes: Autentimata ründajad saavad turvata puuduvate lubade konfiguratsiooni kaudu GitHub Actions’is privileegitud protsesse manipuleerida ja koodirepositorooriume üle võtta.

Turvalisuse uurimisfirma Novee Security avastas uue CI/CD-zaafiuste klassi, mis ohustavad üle 300 GitHub-repositooriumi suurettevõtete juures – ründajatel on selleks vaja ainult tasuta kasutajakontot.

Kui “Cordyceps” on nimetatud zaafiused puudutavad konfiguratsioonivigu GitHub Actions YAML-failides Pull Requestide töötlemisel. Vigaste lubade andmise kaudu saavad välised, kinnitamata isikud automatiseerimisprotsesse manipuleerida. Üksikud tehnilised komponendid toimivad seejuures korrektselt – risk tekib ainult turvamatus kombinatsioonis ja seostuses sisemiste usalduspiiri ülesid, mistõttu traditsioonilised turvaskännerid neid mustreid sageli üle näevad.

Share on: