GitHub Güvenlik Açığı Saldırganların Binlerce Depoyu Ele Geçirmesine Neden Oluyor

Araştırmacılar, GitHub’ın depo oluşturma ve kullanıcı adı değiştirme işlemlerinde bir yarış durumu (race condition) sömürme imkanı tanıyan yeni bir GitHub güvenlik açığı keşfettiler.

Bu yöntemle bir RepoJack saldırısı gerçekleştirilebilir. Bu sorunun başarıyla sömürülmesi, Go, PHP, ve Swift gibi dillerde 4.000’den fazla kod paketinin yanı sıra GitHub işlemleri de dahil olmak üzere açık kaynak topluluğunu etkileyerek ele geçirilmesine olanak tanır.

Checkmarx raporlarına göre, “Bu bulgu, GitHub’ın ‘Popüler depo ad alanı emekliliği’ mekanizmasını potansiyel olarak atlatabilecek benzersiz bir yöntemin dördüncü kez tespit edildiğini işaret ediyor.” Sorun giderildi ve GitHub’a bildirildi.

Bir Saldırgan Nasıl Bir GitHub Deposunu Ele Geçirebilir?
Repo jacking yöntemini kullanarak, bir saldırgan, hassas hale gelen, değiştirilen kullanıcıları ifşa eden mantıksal bir hata avantajından yararlanarak bir GitHub güvenlik açığı deposunu ele geçirebilir.

GitHub’ta, hacker meşru ve sıkça kullanılan bir ad alanının kontrolünü ele alır. Bir ad alanı, kullanıcı adı ve depo adının birleştirilmesi ile oluşturulur. Kullanıcı adı GitHub’ın “kullanıcı adını değiştir” seçeneği kullanılarak değiştirildiğinde, bir ad alanı RepoJacking’e potansiyel olarak açık hale gelir.

Kullanıcı adını değiştirmenin yolu basit ve hızlıdır. Eski depo URL’sine yönelik tüm trafiğin yeni depoya yönlendirileceği uyarısı ile eski depoya yönelik tüm trafiğin yeni depoya yönlendirileceği açıkça belirtilir.

Bu özelliğin GitHub belgelerinde belirtilen önemli bir etkisi şöyle ifade edilmiştir: “Kullanıcı adınızı değiştirdikten sonra eski kullanıcı adınızın herkes tarafından talep edilebilir hale geldiği.”

darbe

“Akabinde kullanıcı adı değiştirildiğinde, bir saldırgan eski kullanıcı adını talep edebilir, eşleşen depo adı altında bir repo açabilir ve ad alanını ele geçirebilir,” araştırmacılar belirtti.

Ayrıca, bu atlamanın avantajını kullanmak, GitHub tarafından sağlanan bir ad alanı ile tüketilen popüler GitHub işlemlerinin ele geçirilmesine neden olabilir.

Popüler bir GitHub etkinliğinin zehirlenmesi, geniş etkilere sahip büyük Tedarik Zinciri saldırılarına yol açabilir. Aqua’nın son çalışmasına göre, Google ve Lyft gibi büyük işletmeler bile bu tür saldırılara karşı hassas olabilir. Bu, bu güvenlik açığının ne kadar ciddi olduğunu vurgulamakta ve büyük IT sektörünün bazı büyük isimlerini etkileyebilecek potansiyel riskleri öğrendikten sonra hızlı bir şekilde önlem almış durumda olduklarını göstermektedir.

Önlem Alma
Bu potansiyel olarak tehlikeli davranışı azaltmak için GitHub, “popüler depo ad alanı emekliliği” adında koruyucu bir özellik uyguladı.

Bu politika uyarınca, kullanıcı hesabı değiştirildiğinde 100’den fazla klonu olan herhangi bir depo “emekli” kabul edilir ve diğer kullanıcılar tarafından erişilemez hale gelir.

Saldırı yüzeyini azaltmak için emekli ad alanlarını kullanmamak önerilir. Ayrıca, kodunuzun RepoJacking’e duyarlı bir GitHub deposuna dönüşmesine neden olabilecek bağımlılıklar içermediğinden emin olmalısınız.

About The Author

Reply