Configuraciones err\u00f3neas de integraci\u00f3n continua y entrega continua (CI\/CD) descubiertas en el c\u00f3digo abierto TensorFlow<\/a> El marco de aprendizaje autom\u00e1tico podr\u00eda haberse aprovechado para orquestar ataques a la cadena de suministro<\/a>.<\/p>\n Un atacante podr\u00eda abusar de las configuraciones err\u00f3neas para “llevar a cabo un compromiso de la cadena de suministro de las versiones de TensorFlow en GitHub y PyPi al comprometer los agentes de compilaci\u00f3n de TensorFlow a trav\u00e9s de una solicitud de extracci\u00f3n maliciosa”, dijeron los investigadores de Praetorian Adnan Khan y John Stawinski. dicho<\/a> en un informe publicado esta semana.<\/p>\n La explotaci\u00f3n exitosa de estos problemas podr\u00eda permitir a un atacante externo cargar versiones maliciosas en el repositorio de GitHub, obtener la ejecuci\u00f3n remota de c\u00f3digo en el ejecutor de GitHub autohospedado e incluso recuperar un token de acceso personal (PAT) de GitHub para el usuario tensorflow-jenkins<\/a>.<\/p>\n TensorFlow utiliza GitHub Actions para automatizar el proceso de creaci\u00f3n, prueba e implementaci\u00f3n de software. Los ejecutores, que se refieren a m\u00e1quinas que ejecutan trabajos en un flujo de trabajo de GitHub Actions, pueden ser autohospedados o alojados en GitHub.<\/p>\n “Recomendamos que utilice \u00fanicamente ejecutores autohospedados con repositorios privados”, GitHub notas<\/a> en su documentaci\u00f3n. “Esto se debe a que las bifurcaciones de su repositorio p\u00fablico pueden potencialmente ejecutar c\u00f3digo peligroso en su m\u00e1quina ejecutora autohospedada al crear una solicitud de extracci\u00f3n que ejecuta el c\u00f3digo en un flujo de trabajo”.<\/p>\n Dicho de otra manera, esto permite a cualquier colaborador ejecutar c\u00f3digo arbitrario en el ejecutor autohospedado enviando una solicitud de extracci\u00f3n maliciosa.<\/p>\n Sin embargo, esto no plantea ning\u00fan problema de seguridad con los ejecutores alojados en GitHub, ya que cada ejecutor es ef\u00edmero y es una m\u00e1quina virtual limpia y aislada que se destruye al final de la ejecuci\u00f3n del trabajo.<\/p>\n Praetorian dijo que pudo identificar flujos de trabajo de TensorFlow que se ejecutaron en ejecutores autohospedados y posteriormente encontr\u00f3 solicitudes de extracci\u00f3n de bifurcaci\u00f3n<\/a> de colaboradores anteriores que activaron autom\u00e1ticamente los flujos de trabajo de CI\/CD apropiados sin requerir aprobaci\u00f3n.<\/p>\n Por lo tanto, un adversario que busque trojanizar un repositorio de destino podr\u00eda corregir un error tipogr\u00e1fico o realizar un peque\u00f1o pero leg\u00edtimo cambio de c\u00f3digo, crear una solicitud de extracci\u00f3n para ello y luego esperar hasta que la solicitud de extracci\u00f3n se fusione para convertirse en colaborador. Esto les permitir\u00eda ejecutar c\u00f3digo en el corredor sin generar ninguna se\u00f1al de alerta mediante la creaci\u00f3n de una solicitud de extracci\u00f3n no autorizada.<\/p>\n Un examen m\u00e1s detenido de los registros de flujo de trabajo revel\u00f3 que el ejecutor autohospedado no s\u00f3lo era no ef\u00edmero (abriendo as\u00ed la puerta a la persistencia), sino que tambi\u00e9n GITHUB_TOKEN<\/a> Los permisos asociados con el flujo de trabajo inclu\u00edan amplios permisos de escritura.<\/p>\n “Porque el GITHUB_TOKEN ten\u00eda la Contenido:permiso de escritura<\/a>podr\u00eda cargar lanzamientos en https:\/\/github[.]com\/tensorflow\/tensorflow\/releases\/”, dijeron los investigadores. “Un atacante que comprometiera uno de estos `GITHUB_TOKEN podr\u00eda agregar sus propios archivos a los Activos de lanzamiento”.<\/p>\n Adem\u00e1s de eso, los permisos de contenido:escritura podr\u00edan usarse como arma para enviar c\u00f3digo directamente al repositorio de TensorFlow inyectando de forma encubierta el c\u00f3digo malicioso en un rama caracter\u00edstica<\/a> y fusionarlo con la rama principal.<\/p>\n Eso no es todo. Un actor de amenazas podr\u00eda robar el AWS_PYPI_ACCOUNT_TOKEN utilizado en el flujo de trabajo de lanzamiento para autenticarse en el registro del \u00cdndice de paquetes de Python (PyPI) y cargar un archivo Python .whl malicioso, envenenando efectivamente el paquete.<\/p>\n “Un atacante tambi\u00e9n podr\u00eda usar los permisos de GITHUB_TOKEN para comprometer el secreto del repositorio JENKINS_TOKEN, aunque este secreto no se us\u00f3 dentro de los flujos de trabajo que se ejecutaron en los corredores autohospedados”, dijeron los investigadores.<\/p>\n Tras la divulgaci\u00f3n responsable el 1 de agosto de 2023, los mantenedores del proyecto abordaron las deficiencias a partir del 20 de diciembre de 2023, exigiendo la aprobaci\u00f3n de los flujos de trabajo enviados desde todas las solicitudes de extracci\u00f3n de bifurcaciones y cambiando los permisos GITHUB_TOKEN a solo lectura para los flujos de trabajo que se ejecutaron en corredores autohospedados.<\/p>\n “Los ataques CI\/CD similares est\u00e1n aumentando a medida que m\u00e1s organizaciones automatizan sus procesos CI\/CD”, dijeron los investigadores.<\/p>\n “Las empresas de IA\/ML son particularmente vulnerables ya que muchos de sus flujos de trabajo requieren una potencia inform\u00e1tica significativa que no est\u00e1 disponible en los ejecutores alojados en GitHub, de ah\u00ed la prevalencia de los ejecutores autohospedados”.<\/p>\n La divulgaci\u00f3n se produce cuando ambos investigadores revelaron que varios repositorios p\u00fablicos de GitHub<\/a>incluidos aquellos asociados con Redes de ch\u00eda, Microsoft DeepSpeed<\/a>y PyTorch<\/a>son susceptibles a la inyecci\u00f3n de c\u00f3digo malicioso a trav\u00e9s de ejecutores de GitHub Actions autohospedados.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Una-falla-de-TensorFlow-CICD-expuso-la-cadena-de-suministro.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n