Samuag
New member
Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine berbat gayeli kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.
Kodların GitHub Actions platformu tarafınca depolanma formu, saldırganların bu kesimleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine berbat hedefli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafınca kullanılan, birkaç tanınan kod parçacığı indirme komut belgesi tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ihtarlarda bulundular. Artefact zehirlenmesinde saldırganlar legal bir yapıyı makus hedefli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.
ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan mevzu ile ilgili şu açıklamada bulundu: “Tedarik zinciri atakları çoklukla o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların legal kodu kendi makus gayeli kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun öbür biri tarafınca gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden dolayı bir tedarik zinciri boyunca fark edilmiyor. GitHub tüm dünyada kullanılıyor ve var iseyılan bir müdafaa düzeyi bulunuyor. Fakat bu, kodun her vakit berbat niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kere oluştuğu manasına gelmiyor. Bu niçinle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash bedelleri, tutarsızlıkları süratli bir biçimde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak çoklukla en âlâ korunma sistemidir. Ayrıyeten, geliştiriciler hiç bir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”
Kodların GitHub Actions platformu tarafınca depolanma formu, saldırganların bu kesimleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine berbat hedefli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafınca kullanılan, birkaç tanınan kod parçacığı indirme komut belgesi tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ihtarlarda bulundular. Artefact zehirlenmesinde saldırganlar legal bir yapıyı makus hedefli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.
ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan mevzu ile ilgili şu açıklamada bulundu: “Tedarik zinciri atakları çoklukla o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların legal kodu kendi makus gayeli kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun öbür biri tarafınca gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden dolayı bir tedarik zinciri boyunca fark edilmiyor. GitHub tüm dünyada kullanılıyor ve var iseyılan bir müdafaa düzeyi bulunuyor. Fakat bu, kodun her vakit berbat niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kere oluştuğu manasına gelmiyor. Bu niçinle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash bedelleri, tutarsızlıkları süratli bir biçimde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak çoklukla en âlâ korunma sistemidir. Ayrıyeten, geliştiriciler hiç bir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”