Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Acil! GitHub Actions Saldırı Modeli: CI Güvenlik Tarayıcılarını Kandırıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Acil! GitHub Actions Saldırı Modeli: CI Güvenlik Tarayıcılarını Kandırıyor

Siber Güvenlik

Acil! GitHub Actions Saldırı Modeli: CI Güvenlik Tarayıcılarını Kandırıyor

teknomers
Son güncelleme: 7 Temmuz 2026 17:09
teknomers
Paylaş
Paylaş

GitHub Actions’da Yeni Güvenlik Açığı: Cordyceps

Çeşitli CI/CD araçlarında keşfedilen Cordyceps isimli güvenlik açığı, hackerların sistemlere sızma şansını artırıyor. Novee Security araştırmacıları, bu açığın ciddi bir tehdit oluşturduğunu vurguluyor ve 30,000’den fazla yönetimsel havuz üzerinde gerçekleştirdikleri incelemeler sonucunda 654 havuzda açık tespit etmişlerdir.

Contents
  • GitHub Actions’da Yeni Güvenlik Açığı: Cordyceps
  • Tehditin Boyutu ve Etkisi
  • Açığın Mekanizması
  • Etkilenen Sistemler
  • Nasıl Korunabiliriz?
  • Sonuç ve Öneriler

Tehditin Boyutu ve Etkisi

Açık, Microsoft, Google, Apache, Cloudflare ve Python Software Foundation gibi önde gelen firmaların projelerini kapsıyor. Saldırganların bu zafiyetten yararlanmak için sadece bir ücretsiz GitHub hesabına sahip olmaları yeterli; ayrıca kurumsal üyelik veya yükseltilmiş izinler gerekmiyor.

Açığın Mekanizması

GitHub Actions iş akışları genellikle pull_request ile tetiklenir ve bu, güvenilir olmayan bir fork ortamında çalışır. Ancak, pull_request_target ve workflow_run ile tetiklenen süreçler, ana depodan gizli bilgilere erişme yeteneğine sahip.

  • Komut Enjeksiyonu: Saldırgan, koşul listesini doğrudan çalıştırarak zararlı kodu iş akışına entegre edebilir.
  • Kod Enjeksiyonu:  actions/github-script  kullanarak saldırgan girdisini JavaScript olarak değerlendirilmesini sağlayabilir.
  • Çapraz İş Akışı Yetki Yükseltmesi: Düşük yetkili bir iş akışı, güvenilir olmayan verileri yüksek yetkili bir iş akışına aktararak özellikle bu zafiyetten yararlanabilir.

Açık, çalışma akışlarının nasıl bağlandığı ile ilgilidir. Her bir dosya ve işlem düzgün görünse de, birlikte çalıştıklarında güvenlik açığı oluşturabilirler.

Etkilenen Sistemler

Örneğin, Microsoft’un Azure Sentinel havuzunda, bir pull request üzerindeki yorum, saldırganların kod çalıştırmasına ve kalıcı bir GitHub App anahtarını çalmalarına olanak tanımıştır.

Diğer bir örnekte, Google’ın AI Agent Development Kit deposunda da benzer bir şekilde, bir pull request ile yüksek yetkilere sahip erişim elde edilebilir.

Nasıl Korunabiliriz?

Güvenliği sağlamak için derhal bazı önlemler almanız önerilir:

  • Untrusted katkılar için her zaman  pull_request  yöntemini kullanın.
  • Güvenli iş akışları içinde pull request başlık kodunu kontrol etmeyin.
  • Olay verilerini, sıralı bir çevresel değişken aracılığıyla geçirin.
  • Varsayılan izinleri yalnızca okuma durumuna ayarlayın.
  • Üçüncü taraf eylemleri için hareketli etiket yerine belirli bir commit SHA ile bağlantı kurun.
  • Özel iş akışlarını ilk kez katkılarda manuel onay ile kısıtlayın.

Bu önlemler alındığında, mevcut sorunları kapatabilir; ancak zafiyeti sınırlamak için köklü bir güvenlik yaklaşımına ihtiyaç vardır.

Sonuç ve Öneriler

Cordyceps zafiyeti, herhangi bir güvenlik aracını aşmamış, yalnızca geçiş yapmıştır. Güvenlik sistemlerinizi güçlendirmek için yapmanız gerekenler:

  • Sistem güncellemelerinizi yapın.
  • Kullanmadığınız portları kapatın.
  • Ücretsiz GitHub hesap kullanımını gözden geçirin ve güvenli paylaşımlarınızı sıkı şekilde inceleyin.

Aksi takdirde, gitmeye devam eden güvenlik açıkları ile karşı karşıya kalabilirsiniz. Herkesin güvenliği için önlemleri ihmal etmeyin.

Acil: Çin Bağlantılı Kırmızı Menshen, Telecom Ağlarında Casusluk Yapıyor
Matrix Push C2: Tarayıcı Bildirimleriyle Phishing Saldırıları Nasıl Yapılıyor?
Londra’daki Belediyelerin IT Sistemleri Siber Saldırıyla Çökertildi!
FNAF Güvenlik İhlali Güncellemesi 1.15 Ortaya Çıktı
JumpCloud Tedarik Zinciri Saldırısında Kuzey Kore Devlet Destekli Bilgisayar Korsanlarından Şüpheleniliyor
ETİKETLENDİ:AcilactionsGithubgüvenlikkandırıyormodelisaldırıtarayıcılarını
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Acil! Windows Cihaz Kimliği, FBI’ın Scattered Spider’ı İzlemesine Yardımcı Oldu
Sonraki Makale Pete Holmes’un E-postaları Okumadığına Emin Misiniz?

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

RTX 5090 OLED oyun laptopunda 2.000 $ tasarruf fırsatı!
Donanım
Oyun Deneyimini Yeniden Şekillendiren Steam Machine Değerlendirmesi
Oyun
Discord 8,000’den Fazla Kullanıcıyı Yanlışlıkla Engelledi
Liste
X, orijinal içerik paylaşımını teşvik etmek için bir video editörü ekledi
Genel
Britanya’nın Uzay Girişimi: Süreklilik Laboratuvarı Uzaya Gönderildi!
Genel
Yeni Temmuz Oyunları Xbox Game Pass ile Karşınızda
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?