דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 85

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
יותר ממחצית המבקרים ב- teamLab Planets בטויוסו, טוקיו מגיעים כעת מעבר לים
החל מחודש מרץ, יצירות אמנות המציגות פריחת דובדבן ברחבי החלל יוצגו בעונת האביב בלבד

Elektros מתחילה במחקר היתכנות עבור פרויקט כריית ליתיום בסיירה לאון
Elektros הודיעה כי החלה בשיחות עם פרויקט כריית ליתיום בסיירה לאון, אפריקה

RevitaLash® Cosmetics רושמת עוד ניצחון גדול בתביעה נגד זייפנים
בית משפט פדרלי העניק ניצחון גדול נוסף לאתנה קוסמטיקס בע"מ - Athena Cosmetics, Inc (חברת האם של RevitaLash® Cosmetics) במאבקה נגד מוכרי מוצרים מזויפיםAMN Distribution, Inc. ומוישה ניומן.

מובילאיי חושפת את תוצאות הרבעון הרביעי והשנה כולה לשנת 2022 ואת העדכון העסקי
Mobileye Discloses Fourth-Quarter and Full-Year 2022 Results and Business Update

טויוטה טסושו, IIJ, NEC, ו-NTT Com חתמו על חוזה עם אוזבקטלקום לפרויקט פיתוח תשתיות טלקומוניקציה
תרומה למאמצי DX על ידי קידום תשתית המידע והתקשורת של אוזבקיסטן

EB5 Capital חוגגת גזירת סרט ב-Rivergate (JF28)
חברי צוות EB5 Capital, יחד למפתחים IDI Group Companies ו-PTM Partners בחגיגת טקס גזירת הסרט של Rivergate, הידוע גם בשם Viridium, פרויקט JF28 של EB5 Capital הממוקם בוודברידג', וירג'יניה. אירוע זה מהווה ציון דרך חשוב לפרויקט, השלב השני בבניה של קהילת דירות יוקרה הכוללת 720 יחידות להשכרה על פני 13.5 דונם.

מרכז הריצוף של דנטה גנומיקה בדובאי קיבל הסמכת מעבדה רפואית ISO 15189 כדי להביא ריצוף גנום שלם קליני למיליארד המטופלים הבאים
Dante Genomics, מובילה עולמית בתחום הגנומיקה והרפואה המדויקת, הודיעה כי המעבדה שלה בדובאי, המשמשת כמרכז עולמי לחצי הכדור המזרחי, קיבלה הסמכת מעבדה רפואית ISO 15189 כדי להביא ריצוף גנום שלם קליני לבתי חולים ורופאים במזרח התיכון, אסיה ואפריקה.

Legitify, כלי אבטחת הקוד הפתוח של Legit Security, מוסיף תמיכה עבור GitLab ו-GitHub Enterprise Server
Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי התמיכה של Legitify, כלי האבטחה בקוד פתוח שהיא מחזיקה בנוסף לפלטפורמת התוכנה כשירות הארגונית שלה, הורחבה כך שהיא כוללת עתה את GitHub Enterprise Server ו-GitLab.

Evigence הבטיחה מימון של 18 מיליון דולר באמצעות סדרה B להרחבת המסחור של מערכת ניהול הטריות
Evigence, חברת טכנולוגיית ריטייל ומזון המספקת לראשונה נתוני טריות לאופטימיזציה של מוצרי המזון, הודיעה על סגירת מימון של 18 מיליון דולר באמצעות גיוס סבב B.

Evigence הבטיחה מימון של 18 מיליון דולר באמצעות סדרה B להרחבת המסחור של מערכת ניהול הטריות
Evigence, חברת טכנולוגיית ריטייל ומזון המספקת לראשונה נתוני טריות לאופטימיזציה של מוצרי המזון, הודיעה על סגירת מימון של 18 מיליון דולר באמצעות גיוס סבב B.
     
 
שיווק באינטרנט על ידי WSI