דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache
Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache
חיים נוי 15/09/22 |  צפיות: 574

Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה ​​של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache

תל אביב, 14 בספטמבר 2022, (GLOBE NEWSWIRE) :

Legit Security, חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה כי גילתה פגיעויות התקפה על שרשרת אספקת התוכנה בפרויקטים פופולריים בקוד פתוח מגוגל ואפאצ'י. הפגיעות שהתגלתה משפיעה על GitHub, מערכת ניהול קוד מקור פופולרית ביותר שנמצאת בליבת שרשרת אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה באופן גלובלי. צוות המחקר של Legit Security מצא סוג חדש של פגיעות CI/CD בשם GitHub Environment Injection המאפשרת לתוקפים להשתלט על צינור ה-GitHub Actions CI/CD בפרויקט פגיע. כל משתמש GitHub יכול לנצל את הפגיעות הזו כדי לשנות את קוד המקור של הפרויקט, לגנוב סודות, לנוע לרוחב ולתקוף בתוך הארגון, ובסופו של דבר ליזום התקפת שרשרת אספקה ​​דמוית SolarWinds. הפגיעות נמצאה בפרויקט Google Firebase ובפרויקט מסגרת אינטגרציה פופולרי מאוד מבית אפאצ'י. גוגל ואפאצ'י אישרו את הפגיעויות ותיקנו אותן לאחר החשיפה הראשונית של Legit Security. Legit Security פרסמה באתר האינטרנט שלה בלוג גילוי טכני הכולל הנחיות לארגונים לתיקון פגיעות זו.

צוות המחקר של Legit Security גילה כי מטען בעל מבנה מיוחד שנכתב למשתנה סביבת GitHub בשם GITHUB_ENV יכול לאפשר לתוקף לבצע קוד בצינור היעד ובכך לשנות את קוד המקור או לסכן את המאגר עצמו. כל משתמש GitHub יכול ליזום התקפה כזו והיא קלה מאוד ליישום. כל מה שצריך לעשות הוא ליצור "בקשת משיכה" או שינוי מוצע לקוד המקור. עצם הגשת בקשת המשיכה תפעיל את פעולת הבנייה עם הפגיעות ותבצע פשרה מוצלחת והתוקף לא צריך לקבל אישור סקירת קוד ממתחזק קוד המקור כדי שזה ייכנס לתוקף.

הצוות Legit Security חשף את הבעיות הללו בפני מנהלי פרויקטים של גוגל ואפאצ'י, יחד עם הנחיות לתיקון, ואימת שהחולשות הללו לא נוצלו בידי שחקן מרושע. הפרויקטים תוקנו וכעת בטוחים. עם זאת, אלו אינם הפרויקטים היחידים הרגישים להתקפה מסוג זה. מכיוון שהשימוש בקובץ GITHUB_ENV נחשב כיום לדרך "הבטוחה" לשנות משתני סביבה ב-GitHub Actions, מאגרים רבים משתמשים בתזרימי עבודה שכותבים נתונים לא מהימנים לקובץ זה, מה שמשאיר אותם חשופים להתקפות שרשרת אספקה.

"סוג זה של פגיעות מצטרף לפגיעויות רבות אחרות בשרשרת אספקת התוכנה והתקפות שמכוונות לפרויקטים פופולריים בקוד פתוח, כולל GitHub, שהוא הגדול ביותר והמארח דה פקטו של רוב פרויקטי הקוד הפתוח", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף ב-Legit Security. "אנחנו, כקהילת אבטחה, חייבים לבנות את הכלים והתהליכים כדי להתמודד עם האיומים הללו ולאפשר לארגונים לסמוך על תוכנה ולהשתמש בה בבטחה. כאן ב- Legit Security המשימה שלנו היא לאבטח את שרשרת אספקת התוכנה של כל ארגון ואנו מבצעים מחקרי אבטחה פעילים, ומשתפים פעולה ביוזמות להשגת מטרה זו".

לדברי Gartner®, כמעט מחצית מהארגונים ברחבי העולם יחוו מתקפה על שרשראות אספקת התוכנה שלהם עד 2025, גידול של פי שלושה מ-2021. חלה עלייה עצומה בניסיונות לפגוע בפרויקטים של קוד פתוח ובשירותי בניית CI/CD, כולל GitHub Actions, כדי לאפשר התקפות נרחבות באמצעות שרשראות אספקת תוכנה.

לניתוח מעמיק של הפגיעות GitHub Environment Injection, יחד עם מידע רחב יותר והדרכה כיצד להגן על הארגון שלכם מפני התקפות שרשרת אספקת תוכנה, בקרו באתר ובבלוג של Legit Security.

אודות Legit Security

Legit Security מגינה על שרשראות אספקת התוכנה מפני התקפה על ידי גילוי ואבטחת הצינורות, התשתית, הקוד והאנשים באופן אוטומטי, כך שעסקים יכולים להישאר בטוחים ובה בעת לאפשר שחרור תוכנה מהיר. Legit Security מספקת פתרון תוכנה כשירות קל ליישום התומך במשאבים בענן ובאופן מקומי ומשלב יכולות גילוי וניתוח אוטומטיים עם מאות מדיניות אבטחה שפותחו בידי מומחי תעשייה עם ניסיון אמיתי באבטחת SDLC. פתרון משולב זה שומר על אבטחת מפעל התוכנה שלך ומספק ביטחון מתמשך שהיישומים שלכם מושקים ללא פגיעויות.

קשרי מדיה

Media Contact

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
אנדרסן גלובל מגיעה לסקוטלנד באמצעות שיתוף פעולה עם חברה
אנדרסן גלובל Andersen Global מחזקת את כיסוי פעילותה בבריטניה באמצעות הסכם לשיתוף פעולה עם החברה הסקוטית Consilium Chartered Accountants, תוך חיזוק נוסף של תפוצתה באזור.

Nyxoah תשתתף בכנס הבריאות השנתי ה-36 של פייפר סנדלר
Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) ("Nyxoah" או "החברה"), חברת טכנולוגיות רפואיות המפתחת חלופות טיפול פורצות דרך לדום נשימה בשינה (OSA) באמצעות נוירומודולציה, הודיעה היום כי החברה תשתתף בכנס הבריאות השנתי ה-36 של פייפר סנדלר ביום רביעי, 4 בדצמבר 2024. החברה אמורה להציג בשעה 14:00 ET באותו יום באמצעות שידור אינטרנט

Recursion ו- Exscientia, שתי מובילות בתחום גילוי התרופות בתחום הבינה המלאכותית, התאחדו באופן רשמי כדי לקדם את התיעוש של גילוי תרופות
* Recursion חושפת פורטפוליו של טכנולוגיות חדישות שהבשילו למסחור עם יותר מ-10 תוכניות קליניות ופרה-קליניות, 10 תוכניות גילוי מתקדמות ויותר מ-10 תוכניות שותפות

מידע למשקיעי WGO: משקיעים ב- Winnebago Industries, Inc. שספגו הפסדים מוזמנים ליצור קשר
מידע למשקיעי WGO: משקיעים ב- Winnebago Industries, Inc. שספגו הפסדים מוזמנים ליצור קשר עם רוזן עורכי דין בנוגע לחקירה מתמשכת נגד החברה (NYSE: WGO)

רוזן, יועץ השקעות מוביל, מעודד את משקיעי PACS Group Inc לקבל ייעוץ
רוזן, יועץ השקעות מוביל, מעודד את משקיעי PACS Group Inc לקבל ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך - PACS

התראת תאריך יעד לתביעה נגד POWW: רוזן, משרד עורכי דין מדורג ומוביל, מעודד את משקיעי AMMO, Inc לקבל ייעוץ
התראת תאריך יעד לתביעה נגד POWW: רוזן, משרד עורכי דין מדורג ומוביל, מעודד את משקיעי AMMO, Inc לקבל ייעוץ לפני תאריך יעד חשוב ב-29 בנובמבר בתביעה ייצוגית בניירות ערך – POWW

תאריך היעד לתביעה נגד MGX: רוזן, עורך דין מוביל, מעודד את משקיעי Metagenomi, Inc להבטיח ייעוץ
תאריך היעד לתביעה נגד MGX: רוזן, עורך דין מוביל, מעודד את משקיעי Metagenomi, Inc להבטיח ייעוץ לפני תאריך יעד חשוב של 25 בנובמבר בתביעה ייצוגית בניירות ערך – MGX

תאריך יעד לתביעה נגד LLAP: רוזן, יועץ למשקיעים מוביל, מעודד את משקיעי Terran Orbital Corporation לקבל ייעוץ
תאריך יעד לתביעה נגד LLAP: רוזן, יועץ למשקיעים מוביל, מעודד את משקיעי Terran Orbital Corporation לקבל ייעוץ לפני תאריך היעד החשוב של 26 בנובמבר בתביעה ייצוגית בניירות ערך – LLAP

Corpay Cross-Border מרחיבה את השותפות עם World Aquatics
Corpay, Inc*, (NYSE: CPAY) חברה גלובלית מובילה בתחום התשלומים הארגוניים, שמחה להודיע שהעסק Corpay Cross-Border חתמה על הסכם רב שנתי על מנת להרחיב את שיתוף הפעולה המוצלח ביניהם עם World Aquatics כספקית תשלומי המט"ח המוביל שלהם.

Microsoft Fabric ישנה את איכות הנתונים והשימושיות בכל רחבי הארגון
Quantexa, ספקית מובילה בפתרונות מודיעין לקבלת החלטות (DI)) למגזר הציבורי והפרטי, במהלך Microsoft Ignite, הודיעה על הזמינות המיידית של Unify Workload של Quantexa עבור Microsoft Fabric. Quantexa Unify, שנמצא כעת במעמד של סקירה ראשונית, מביא אבחנת ישויות מתקדמת מועצמת בינה מלאכותית והתאמת נתונים ל-Microsoft Fabric.
     
 
שיווק באינטרנט על ידי WSI