סיידר הישראלית חשפה פרצת אבטחה ב-Github
הסטארטאפ הישראלי, המפתח מוצר המיועד לשפר את רמת אבטחת המידע של מערכות ותהליכי פיתוח תוכנה, דיווח לענקית ההוסטינג על הפרצה – שטרם תוקנה
ישראל דיפנס
| 18/10/2021
Photo by Pavlo Gonchar / SOPA Images/Sipa USA via REUTERS
צוות המחקר והפיתוח של סיידר סקיוריטי (Cider Security), חברת סטארטאפ המפתחת מוצר חדשני המשפר את רמת אבטחת המידע של מערכות ותהליכי פיתוח התוכנה, נחשף לאחרונה לפרצת אבטחה בפלטפורמה של Github ועדכן את חברת הענק, המצויה בבעלות מיקרוסופט והמספקת שירותי הוסטינג (אחסון) עבור מיזמי פיתוח תוכנה.
הפלטפורמה של Github מבוססת על שירות ענן (SaaS) ומאפשרת לנהל תהליכי פיתוח, לעקוב אחר שינויים בפרויקט בקוד, לאחסן סקריפטים, להעלות תוכן טקסטואלי ובמקרים מסוימים אפילו אפשר להשתמש בחשבון בתור בלוג אישי.
לפני שמתחילים לנהל תהליכי פיתוח ולנהל פרויקטים של פיתוח, כדאי להבין מהם העקרונות של גיטהאב, הרכיבים והפונקציונליות שאיתם אנו יכולים לעבוד. מדובר בפלטפורמת גיט מתקדמת המספקת אפשרויות מתקדמות לפיתוח, ומאפשרת אינטגרציה עם כלים צד שלישי ויכולות גיט מותאמות ונוספות. המטרה העיקרית של גיטהאב היא לספק עבודת צוות, שלמות של המידע, מהירות בתהליכי פיתוח ותמיכה בתהליכים מבוזרים.
הפירצה שאיתרו חוקרי סיידר גילתה כי קיים הבאג מאפשר לעקוף מנגנון הגנה נפוץ לשימוש, שמטרתו להגן על תהליך יצירת קוד מקומי, העלאה שלו לשרת וקבלת עדכונים רגישים מדחיפה של קוד מבלי שעשו עליו בקרה. החולשה מאפשרת לתוקף שמשתלט על חשבון גיטהאב של משתמש עם הרשאות כתיבה, או לחילופין למפתח שלא אוהב שמגבילים אותו, לעקוף את המנגנון הנפוץ לשימוש באמצעות ניצול של GitHub Actions , כלי ה-CI של גיטהאב. באמצעות העקיפה, ניתן לדחוף קוד לא מבוקר שעלול להשפיע ולשבש את התוצר הסופי.
עומר גיל, מנהל צוות מחקר ב- Cider Security:"החולשה דווחה לגיטהאב דרך תכנית הbug bounty שלהם. הם קיבלו את החולשה, אמרו שיטפלו בה, ואישרו לפרסם אותה. אנחנו לא יכולים לדעת אם החולשה נוצלה ע"י תוקפים בעבר, אבל אפשר לומר שכיוון שההגנה הזאת מאוד פופולרית ובשימוש בכל ארגון גיטהאב, וכל ארגון פגיע כברירת מחדל, הimpact של החולשה משמעותי״.
כשבוע עבר מאז התגלתה החולשה, והועבר המידע למנהלי Github, ואף על פי כן, היא טרם תוקנה – להערכת סיידר, כיוון שמדובר ככל הנראה בפרצה מורכבת לתיקון.
בהעדר התראות על קודים שאבטחתם ירודה מצד Github, סיידר פרסמה רשימה של פרצות אפשריות וקודים בסיכון גבוה. להמלצתם, ארגונים צריכים לשקול להשבית את פעולות GitHub בכל הארגון שלהם או עבור מאגרים ספציפיים (הרגישים יותר).
גם כאשר פעולות GitHub נמצאות בשימוש, על מנת להבטיח שהקוד אינו פרוץ או מושפע מגורם חיצוני, Cider ממליצים לבצע שני שלבי אישורי קוד.
הסטארטאפ הישראלי, המפתח מוצר המיועד לשפר את רמת אבטחת המידע של מערכות ותהליכי פיתוח תוכנה, דיווח לענקית ההוסטינג על הפרצה – שטרם תוקנה
Photo by Pavlo Gonchar / SOPA Images/Sipa USA via REUTERS
צוות המחקר והפיתוח של סיידר סקיוריטי (Cider Security), חברת סטארטאפ המפתחת מוצר חדשני המשפר את רמת אבטחת המידע של מערכות ותהליכי פיתוח התוכנה, נחשף לאחרונה לפרצת אבטחה בפלטפורמה של Github ועדכן את חברת הענק, המצויה בבעלות מיקרוסופט והמספקת שירותי הוסטינג (אחסון) עבור מיזמי פיתוח תוכנה.
הפלטפורמה של Github מבוססת על שירות ענן (SaaS) ומאפשרת לנהל תהליכי פיתוח, לעקוב אחר שינויים בפרויקט בקוד, לאחסן סקריפטים, להעלות תוכן טקסטואלי ובמקרים מסוימים אפילו אפשר להשתמש בחשבון בתור בלוג אישי.
לפני שמתחילים לנהל תהליכי פיתוח ולנהל פרויקטים של פיתוח, כדאי להבין מהם העקרונות של גיטהאב, הרכיבים והפונקציונליות שאיתם אנו יכולים לעבוד. מדובר בפלטפורמת גיט מתקדמת המספקת אפשרויות מתקדמות לפיתוח, ומאפשרת אינטגרציה עם כלים צד שלישי ויכולות גיט מותאמות ונוספות. המטרה העיקרית של גיטהאב היא לספק עבודת צוות, שלמות של המידע, מהירות בתהליכי פיתוח ותמיכה בתהליכים מבוזרים.
הפירצה שאיתרו חוקרי סיידר גילתה כי קיים הבאג מאפשר לעקוף מנגנון הגנה נפוץ לשימוש, שמטרתו להגן על תהליך יצירת קוד מקומי, העלאה שלו לשרת וקבלת עדכונים רגישים מדחיפה של קוד מבלי שעשו עליו בקרה. החולשה מאפשרת לתוקף שמשתלט על חשבון גיטהאב של משתמש עם הרשאות כתיבה, או לחילופין למפתח שלא אוהב שמגבילים אותו, לעקוף את המנגנון הנפוץ לשימוש באמצעות ניצול של GitHub Actions , כלי ה-CI של גיטהאב. באמצעות העקיפה, ניתן לדחוף קוד לא מבוקר שעלול להשפיע ולשבש את התוצר הסופי.
עומר גיל, מנהל צוות מחקר ב- Cider Security:"החולשה דווחה לגיטהאב דרך תכנית הbug bounty שלהם. הם קיבלו את החולשה, אמרו שיטפלו בה, ואישרו לפרסם אותה. אנחנו לא יכולים לדעת אם החולשה נוצלה ע"י תוקפים בעבר, אבל אפשר לומר שכיוון שההגנה הזאת מאוד פופולרית ובשימוש בכל ארגון גיטהאב, וכל ארגון פגיע כברירת מחדל, הimpact של החולשה משמעותי״.
כשבוע עבר מאז התגלתה החולשה, והועבר המידע למנהלי Github, ואף על פי כן, היא טרם תוקנה – להערכת סיידר, כיוון שמדובר ככל הנראה בפרצה מורכבת לתיקון.
בהעדר התראות על קודים שאבטחתם ירודה מצד Github, סיידר פרסמה רשימה של פרצות אפשריות וקודים בסיכון גבוה. להמלצתם, ארגונים צריכים לשקול להשבית את פעולות GitHub בכל הארגון שלהם או עבור מאגרים ספציפיים (הרגישים יותר).
גם כאשר פעולות GitHub נמצאות בשימוש, על מנת להבטיח שהקוד אינו פרוץ או מושפע מגורם חיצוני, Cider ממליצים לבצע שני שלבי אישורי קוד.
