דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache
Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache
חיים נוי 15/09/22 |  צפיות: 570

Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache

תל אביב, 14 בספטמבר 2022, (GLOBE NEWSWIRE) :

Legit Security, חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה כי גילתה פגיעויות התקפה על שרשרת אספקת התוכנה בפרויקטים פופולריים בקוד פתוח מגוגל ואפאצ'י. הפגיעות שהתגלתה משפיעה על GitHub, מערכת ניהול קוד מקור פופולרית ביותר שנמצאת בליבת שרשרת אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה באופן גלובלי. צוות המחקר של Legit Security מצא סוג חדש של פגיעות CI/CD בשם GitHub Environment Injection המאפשרת לתוקפים להשתלט על צינור ה-GitHub Actions CI/CD בפרויקט פגיע. כל משתמש GitHub יכול לנצל את הפגיעות הזו כדי לשנות את קוד המקור של הפרויקט, לגנוב סודות, לנוע לרוחב ולתקוף בתוך הארגון, ובסופו של דבר ליזום התקפת שרשרת אספקה ​​דמוית SolarWinds. הפגיעות נמצאה בפרויקט Google Firebase ובפרויקט מסגרת אינטגרציה פופולרי מאוד מבית אפאצ'י. גוגל ואפאצ'י אישרו את הפגיעויות ותיקנו אותן לאחר החשיפה הראשונית של Legit Security. Legit Security פרסמה באתר האינטרנט שלה בלוג גילוי טכני הכולל הנחיות לארגונים לתיקון פגיעות זו.

צוות המחקר של Legit Security גילה כי מטען בעל מבנה מיוחד שנכתב למשתנה סביבת GitHub בשם GITHUB_ENV יכול לאפשר לתוקף לבצע קוד בצינור היעד ובכך לשנות את קוד המקור או לסכן את המאגר עצמו. כל משתמש GitHub יכול ליזום התקפה כזו והיא קלה מאוד ליישום. כל מה שצריך לעשות הוא ליצור "בקשת משיכה" או שינוי מוצע לקוד המקור. עצם הגשת בקשת המשיכה תפעיל את פעולת הבנייה עם הפגיעות ותבצע פשרה מוצלחת והתוקף לא צריך לקבל אישור סקירת קוד ממתחזק קוד המקור כדי שזה ייכנס לתוקף.

הצוות Legit Security חשף את הבעיות הללו בפני מנהלי פרויקטים של גוגל ואפאצ'י, יחד עם הנחיות לתיקון, ואימת שהחולשות הללו לא נוצלו בידי שחקן מרושע. הפרויקטים תוקנו וכעת בטוחים. עם זאת, אלו אינם הפרויקטים היחידים הרגישים להתקפה מסוג זה. מכיוון שהשימוש בקובץ GITHUB_ENV נחשב כיום לדרך "הבטוחה" לשנות משתני סביבה ב-GitHub Actions, מאגרים רבים משתמשים בתזרימי עבודה שכותבים נתונים לא מהימנים לקובץ זה, מה שמשאיר אותם חשופים להתקפות שרשרת אספקה.

"סוג זה של פגיעות מצטרף לפגיעויות רבות אחרות בשרשרת אספקת התוכנה והתקפות שמכוונות לפרויקטים פופולריים בקוד פתוח, כולל GitHub, שהוא הגדול ביותר והמארח דה פקטו של רוב פרויקטי הקוד הפתוח", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף ב-Legit Security. "אנחנו, כקהילת אבטחה, חייבים לבנות את הכלים והתהליכים כדי להתמודד עם האיומים הללו ולאפשר לארגונים לסמוך על תוכנה ולהשתמש בה בבטחה. כאן ב- Legit Security המשימה שלנו היא לאבטח את שרשרת אספקת התוכנה של כל ארגון ואנו מבצעים מחקרי אבטחה פעילים, ומשתפים פעולה ביוזמות להשגת מטרה זו".

לדברי Gartner®, כמעט מחצית מהארגונים ברחבי העולם יחוו מתקפה על שרשראות אספקת התוכנה שלהם עד 2025, גידול של פי שלושה מ-2021. חלה עלייה עצומה בניסיונות לפגוע בפרויקטים של קוד פתוח ובשירותי בניית CI/CD, כולל GitHub Actions, כדי לאפשר התקפות נרחבות באמצעות שרשראות אספקת תוכנה.

לניתוח מעמיק של הפגיעות GitHub Environment Injection, יחד עם מידע רחב יותר והדרכה כיצד להגן על הארגון שלכם מפני התקפות שרשרת אספקת תוכנה, בקרו באתר ובבלוג של Legit Security.

אודות Legit Security

Legit Security מגינה על שרשראות אספקת התוכנה מפני התקפה על ידי גילוי ואבטחת הצינורות, התשתית, הקוד והאנשים באופן אוטומטי, כך שעסקים יכולים להישאר בטוחים ובה בעת לאפשר שחרור תוכנה מהיר. Legit Security מספקת פתרון תוכנה כשירות קל ליישום התומך במשאבים בענן ובאופן מקומי ומשלב יכולות גילוי וניתוח אוטומטיים עם מאות מדיניות אבטחה שפותחו בידי מומחי תעשייה עם ניסיון אמיתי באבטחת SDLC. פתרון משולב זה שומר על אבטחת מפעל התוכנה שלך ומספק ביטחון מתמשך שהיישומים שלכם מושקים ללא פגיעויות.

קשרי מדיה

Media Contact

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
Perma-Pipe International Holdings, Inc מכריזה על קבלת חוזים בסך 15 מיליון דולר באזורי אמריקה והמזרח התיכון
Perma-Pipe International Holdings, Inc. (נאסד"ק: PPIH) הכריזה היום על קבלת פרויקט בהיקף של 6 מיליון דולר באזור המזרח התיכון וצפון אפריקה MENA. כמו כן, החברה הכריזה על קבלת פרויקט חדש בהיקף של 9 מיליון דולר באמריקה, מה שמצביע על שיפור מתמשך באזור.

ATNi משיקה את מדד הגישה העולמי החמישי לתזונה בזמן שהתעשייה וקובעי המדיניות מתמודדים עם משבר מזון
ATNi משיקה היום את המהדורה החמישית של מדד הגישה הגלובלית לתזונה (Global Access to Nutrition Index), הגדול ביותר עד כה, המעריך את 30 יצרני המזון והמשקאות הגדולים בעולם ויותר מ-52,000 מוצרים, המייצגים נתח שוק עולמי של 23%.

Bitget רושמת את Swell (SWELL) ב-Launchpool, Poolx ו-Spot עם 23,440,000 אסימונים כפרסים
Bitget, בורסת המטבעות הקריפטוגרפים וחברת ה-Web3 המובילה בעולם, הכריזה על הרישום של אסימוני SWELL בפלטפורמה שלה המכסים מגוון מוצרים כגון Launchpool, Poolx ומסחר ב-Spot.

Zenas BioPharma תשתתף בכנסי המשקיעים הקרובים בתחום הבריאות
Zenas BioPharma, Inc ("Zenas" או "החברה") (נאסד"ק: ZBIO), חברת ביו-פארמה גלובלית המחויבת להפוך למובילה בפיתוח ומסחור של טיפולים מכווני דלקות ואימונולוגיה, הודיעה היום על השתתפות החברה בכנסי המשקיעים הבאים בתחום הבריאות

שימוש ב-Milbros UV Graphs משפר את הבטיחות וההחזרה בניקוי מכלים כימיים
פתרון דיגיטלי יכול להגביל את הזמן בנמל ולמקסם את החיסכון בעלויות

MLL Legal בוחרת בפלטפורמת משרדי עורכי הדין AQX של Anaqua כדי לשפר את ניהול הקניין הרוחני ולהניע יעילות תפעולית
משרד עורכי דין שוויצרי מוביל מאמץ פתרון מדרגי ואינטואיטיבי לחיזוק יכולות ניהול הקניין הרוחני

Nyxoah מדווחת על תוצאותיה הכספיות והתפעוליות לרבעון השלישי של 2024
Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) חברת טכנולוגיות רפואיות המפתחת חלופות טיפול פורצות דרך לדום נשימה בשינה (OSA) באמצעות נוירומודולציה, דיווחה היום על תוצאותיה הכספיות והתפעוליות לרבעון השלישי של 2024.

רוזן, יועץ למשקיעים מיומן, מעודד את משקיעי AMMO, Inc לקבל ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – POWW
משרד רוזן עורכי דין (Rosen Law Firm), משרד עורכי דין בינלאומי העוסק בזכויות משקיעים, מזכיר לרוכשים את ניירות הערך של AMMO, Inc. (נאסד"ק: POWW) בין התאריכים 19 באוגוסט 2020 עד 24 בספטמבר 2024, שני התאריכים כוללים ("התקופה הייצוגית"), את המועד האחרון החשוב של 29 בנובמבר 2024 להגשת תביעה ייצוגית בניירות ערך.

מידע למשקיעים ב-KSPI: משקיעים שספגו הפסדים ב- Joint Stock Company Kaspi.kz מוזמנים לפנות לרוזן עורכי דין
מידע למשקיעים ב-KSPI: משקיעים שספגו הפסדים ב- Joint Stock Company Kaspi.kz מוזמנים לפנות לרוזן עורכי דין בנוגע לחקירה מתמשכת נגד החברה – KSPI

יוסי כרמיל פורש מתפקיד מנכ"ל סלברייט לאחר קרוב ל-20 שנה
Cellebrite מכריזה על תוכנית לבחירת מנכ"ל
     
 
שיווק באינטרנט על ידי WSI