דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 367

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
ATNi משיקה את מדד הגישה העולמי החמישי לתזונה בזמן שהתעשייה וקובעי המדיניות מתמודדים עם משבר מזון
ATNi משיקה היום את המהדורה החמישית של מדד הגישה הגלובלית לתזונה (Global Access to Nutrition Index), הגדול ביותר עד כה, המעריך את 30 יצרני המזון והמשקאות הגדולים בעולם ויותר מ-52,000 מוצרים, המייצגים נתח שוק עולמי של 23%.

Bitget רושמת את Swell (SWELL) ב-Launchpool, Poolx ו-Spot עם 23,440,000 אסימונים כפרסים
Bitget, בורסת המטבעות הקריפטוגרפים וחברת ה-Web3 המובילה בעולם, הכריזה על הרישום של אסימוני SWELL בפלטפורמה שלה המכסים מגוון מוצרים כגון Launchpool, Poolx ומסחר ב-Spot.

Zenas BioPharma תשתתף בכנסי המשקיעים הקרובים בתחום הבריאות
Zenas BioPharma, Inc ("Zenas" או "החברה") (נאסד"ק: ZBIO), חברת ביו-פארמה גלובלית המחויבת להפוך למובילה בפיתוח ומסחור של טיפולים מכווני דלקות ואימונולוגיה, הודיעה היום על השתתפות החברה בכנסי המשקיעים הבאים בתחום הבריאות

שימוש ב-Milbros UV Graphs משפר את הבטיחות וההחזרה בניקוי מכלים כימיים
פתרון דיגיטלי יכול להגביל את הזמן בנמל ולמקסם את החיסכון בעלויות

MLL Legal בוחרת בפלטפורמת משרדי עורכי הדין AQX של Anaqua כדי לשפר את ניהול הקניין הרוחני ולהניע יעילות תפעולית
משרד עורכי דין שוויצרי מוביל מאמץ פתרון מדרגי ואינטואיטיבי לחיזוק יכולות ניהול הקניין הרוחני

Nyxoah מדווחת על תוצאותיה הכספיות והתפעוליות לרבעון השלישי של 2024
Nyxoah SA (נאסד"ק/יורונקסט בריסל: NYXH) חברת טכנולוגיות רפואיות המפתחת חלופות טיפול פורצות דרך לדום נשימה בשינה (OSA) באמצעות נוירומודולציה, דיווחה היום על תוצאותיה הכספיות והתפעוליות לרבעון השלישי של 2024.

רוזן, יועץ למשקיעים מיומן, מעודד את משקיעי AMMO, Inc לקבל ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – POWW
משרד רוזן עורכי דין (Rosen Law Firm), משרד עורכי דין בינלאומי העוסק בזכויות משקיעים, מזכיר לרוכשים את ניירות הערך של AMMO, Inc. (נאסד"ק: POWW) בין התאריכים 19 באוגוסט 2020 עד 24 בספטמבר 2024, שני התאריכים כוללים ("התקופה הייצוגית"), את המועד האחרון החשוב של 29 בנובמבר 2024 להגשת תביעה ייצוגית בניירות ערך.

מידע למשקיעים ב-KSPI: משקיעים שספגו הפסדים ב- Joint Stock Company Kaspi.kz מוזמנים לפנות לרוזן עורכי דין
מידע למשקיעים ב-KSPI: משקיעים שספגו הפסדים ב- Joint Stock Company Kaspi.kz מוזמנים לפנות לרוזן עורכי דין בנוגע לחקירה מתמשכת נגד החברה – KSPI

יוסי כרמיל פורש מתפקיד מנכ"ל סלברייט לאחר קרוב ל-20 שנה
Cellebrite מכריזה על תוכנית לבחירת מנכ"ל

Vasion מסירה את הלוט מעל אוטומציית הפלט: מחוללת מהפכה בניהול פלט ואוטומציה של זרימת עבודה באמצעות פתרון מקורי בענן
®Vasion, חלוצה בהדפסה ללא שרת ובאוטומציה מתוזמרת, הכריזה על ההשקה של ™Vasion Output Automation, פתרון "תוכנה כשירות" (SaaS) מקורי בענן ההופך את ניהול הפלט לאוטומטי ומאפשר ללקוחות לנצל יכולות בינה מלאכותית פורצות דרך.
     
 
שיווק באינטרנט על ידי WSI