Cacat Cordyceps CI/CD Membuat 300+ Repositori GitHub Terkena Serangan Rantai Pasokan

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah menandai kelemahan alur kerja CI/CD kelas baru yang memungkinkan penyerang membajak alur kerja dan menyusupi rantai pasokan sumber terbuka.

Sumber Terbuka / Keamanan Rantai Pasokan

"Pola kritis yang dapat dieksploitasi" telah diberi nama sandi Cordyceps oleh Novee Security. Masalah ini memungkinkan penyerang mengontrol penuh repositori di puluhan organisasi terbesar di seluruh dunia, termasuk Microsoft, Google, Apache, dan Cloudflare.

“Kelemahan ini dapat dieksploitasi oleh pengguna yang tidak diautentikasi,” kata Elad Meged, insinyur pendiri dan peneliti keamanan di Novee Security. "Tidak ada keanggotaan organisasi atau hak istimewa; akun gratis sudah cukup untuk memalsukan persetujuan, memasukkan kode, atau mencuri kredensial."

Pemindaian yang dilakukan oleh perusahaan penguji penetrasi terhadap sekitar 30.000 repositori berdampak tinggi telah mengungkapkan bahwa lebih dari 300 repositori dapat dieksploitasi sepenuhnya, sehingga memungkinkan eksekusi kode yang dikendalikan penyerang, pencurian kredensial, dan penyusupan rantai pasokan, yang dapat menimbulkan dampak hilir yang parah.

“Kerentanan rantai pasokan ini terletak pada dasar pipa sumber terbuka yang digunakan oleh seluruh industri, dan jenis masalah yang tersembunyi dari pemindai karena, secara teknis, setiap bagian berfungsi sesuai desain,” jelas Novee. "Alur kerja melakukan apa yang diperintahkan. Kerentanan hanya ada pada komposisi – data tidak tepercaya melewati batas kepercayaan yang tidak diaudit oleh siapa pun."

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com