דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 261

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
מעבד ה-NPU IP של VeriSilicon משולב ביותר מ-100 מיליון שבבים תומכי AI ברחבי העולם
מאפשר ביצוע יעיל של יישומים, החל מ- AI voice, AI vision, AI pixel עד ל-AIGC על גבי התקנים מוטבעים

Nyxoah תשתתף בכנס אופנהיימר השנתי ה-34 למדטק ושירותי בריאות
Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) חברת טכנולוגיות רפואיות שמתמקדת בפיתוח ומסחור של פתרונות ושירותים חדשניים לדום נשימה בשינה (OSA), הודיעה היום כי החברה תשתתף בכנס השנתי ה-34 של אופנהיימר למדטק ושירותי בריאות (Oppenheimer 34th Annual Healthcare MedTech & Services Conference), שיתקיים בתאריכים 12-13 במרץ 2024.

קריאה לכל המחדשים הגלובליים: המשיכו להתעדכן בעידן הזהב של ה-I&T
HKSTP יוצאת ל-LEAP 2024 כדי לתדלק את הבום הטכנולוגי בערב הסעודית והמזרח התיכון וכדי להוביל שיתוף פעולה בין כוחות חדשנות גלובליים שעולים במהירות כשלב חדש של Belt and Road Initiative

קריאה לכל המחדשים הגלובליים: המשיכו להתעדכן בעידן הזהב של ה-I&T
HKSTP יוצאת ל-LEAP 2024 כדי לתדלק את הבום הטכנולוגי בערב הסעודית והמזרח התיכון וכדי להוביל שיתוף פעולה בין כוחות חדשנות גלובליים שעולים במהירות כשלב חדש של Belt and Road Initiative

NIQ מעצימה לקוחות ושותפים באמצעות השקה של חטיבת מדיה גלובלית
NIQ, החברה המובילה בעולם למודיעין צרכני, שמחה להכריז על השקה של חטיבת המדיה החדשה. מדובר ביוזמה אסטרטגית שמטרתה להגדיל עבור מפרסמים את הערך הנגזר ממאמצי השיווק שלהם כמו גם לאפשר לשותפים לתמוך בלקוחות המפרסמים שלנו.

מובילאיי מודיעה על השתתפותה בכנס מורגן סטנלי לטכנולוגיה, מדיה וטלקום
29/02/24 | ספורט
חברת מובילאיי (Mobileye Global Inc) (נאסד"ק: MBLY) (מובילאיי) הודיעה היום כי דן גלבס, מנהל התקשורת הראשי של החברה, יציג בכנס מורגן סטנלי לטכנולוגיה, מדיה וטלקום ביום רביעי, 6 במרץ 2024.

LiveRamp משיקה פלטפורמת שיתוף נתונים מאוחדים הכוללת טכנולוגיה ניתנת להרכבה
שיפורים חדשים מאפשרים ללקוחות לשתף פעולה עם כל אחד, להפעיל נתונים בכל יעד ולקבל גישה ליותר פתרונות—הכל ממקום אחד עם פלטפורמה מוכנה לשימוש עתידי והממוטבת למהירות וקלות שימוש, לקוחות יכולים לספק תוצאות עסקיות טובות יותר וחוויות לקוח אישיות יותר

סנט קיטס ונוויס חושפת את פסגת שער ההשקעות
ממשלת סנט קיטס ונוויס (St Kitts and Nevis) מכריזה בגאווה על הישג היסטורי במחויבותה המתמשכת למימוש סדר היום של מדינת האי בר הקיימא. בצעד פורץ דרך, האומה חושפת יוזמה חסרת תקדים שמטרתה לטפח שיתוף פעולה והשקעות כדי להניע את הפדרציה התאומה לעתיד משגשג.

הקרן לפיתוח כלכלי של סורוס של קרנות החברה הפתוחה מתחייבת לסכום של 25 מיליון דולר לשותפות מימון הפרויקטים האקלימיים Allied Climate Partners
Soros Economic Development Fundהקרן לפיתוח כלכלי של סורוס (SEDF), זרוע ההשקעות המשפיעה של Open Society Foundations קרנות החברה הפתוחה, מתחייבת בסכום של 25 מיליון דולר ל-Allied Climate Partners (ACP) - שותפות ציבורית-פרטית חדשה וחדשנית המתמקדת בהגדלת מספר הפרויקטים האקלימיים באמצעות מענקים הניתנים מבנקים בשווקים פורצים ובכלכלות מתפתחות ברחבי העולם.

הישות של WadzPay בדובאי מקבלת רישיון ספק שירותי נכסים וירטואליים (VASP) מהרשות הרגולטורית לנכסים וירטואליים של דובאי
WPME Technology, הישות שבסיסה בדובאי של WadzPay, חברת פינטק מובילה המתמחה בטכנולוגיה מבוססת בלוקצ'יין לנכסים וירטואליים, הודיעה כי קיבלה רישיון לספק שירותי נכסים וירטואליים (VASP) עבור פעילויות שירות ברוקר וסוחר נכסים וירטואליים על ידי הרשות הרגולטורית לנכסים וירטואליים של דובאי (VARA).
     
 
שיווק באינטרנט על ידי WSI