Yakın zamanda kullanıma sunulan bir GitHub özelliği, kötü amaçlı yazılım barındırmak ve dağıtmak için kötüye kullanılabilir (yeni sekmede açılır) yazılım geliştirici topluluğu arasında uzmanlar iddia etti.
Trend Micro’dan siber güvenlik araştırmacıları, GitHub Codespaces’in şüphelenmeyen yazılım geliştiricilere kötü amaçlı komut dosyaları göndermek için nasıl kötüye kullanılabileceğini ayrıntılarıyla açıklayan bir rapor yayınladı.
GitHub, Kasım 2022’de başlatılan Codespaces’i “size ortak diller, araçlar ve geliştirme yardımcı programları sağlamak için bir kapsayıcı kullanan anında, bulut tabanlı bir geliştirme ortamı” olarak tanımlıyor. Başka bir deyişle, geliştiriciler doğrudan tarayıcıda kod yazıp test edebilir.
TCP port yönlendirme sorunları
Sorun, Codespaces’in geliştiricilerin çalışmalarını muhtemelen test amacıyla halkla paylaşmasına izin veren iyi niyetli bir özellik olan TCP bağlantı noktası iletmesine izin vermesi gerçeğinde yatmaktadır. URL’yi bilen, esere erişebilir. Dolayısıyla teoride bir tehdit aktörü bir Python web sunucusu çalıştırabilir, Codespace’e kötü amaçlı yazılım yükleyebilir, bir web sunucusu bağlantı noktası açabilir ve görünürlüğü “genel” olarak ayarlayabilir.
Trend Micro raporunda, “Tehdit modelleme kötüye kullanım senaryosu hipotezimizi doğrulamak için, 8080 numaralı bağlantı noktasında Python tabanlı bir HTTP sunucusu çalıştırdık, bağlantı noktasını ilettik ve herkese açık olarak gösterdik” dedi. “Bu süreçte, kimlik doğrulaması için URL’yi ve çerezlerin olmadığını kolayca bulduk.”
Ayrıca, bağlantı noktası iletme varsayılan olarak HTTP kullanır, ancak bilgisayar korsanları yanlış güvenlik algısını güçlendirmek için bunu kolayca HTTPS olarak ayarlayabilir. Yaralanmaya ek olarak, GitHub’ın güvenilir bir ortam olarak kabul edilmesi, trafiğin Microsoft’tan gelmesi ve bu nedenle herhangi bir antivirüs alarmı vermemesi muhtemeldir.
Ama hepsi bu kadar değil. “Dev Containers” adlı bir Codespaces özelliği, kötü amaçlı yazılımı daha sorunsuz bir şekilde dağıtmak için kötüye kullanılabilir. Bu özellik, geliştiricilerin bir proje için gerekli tüm bağımlılıkları tutan önceden yapılandırılmış kapsayıcılar oluşturmasına olanak tanır.
BleepingBilgisayar Codespaces ile kötü amaçlı bir web sunucusunu “10 dakikadan daha kısa sürede, bu özellikle sıfır deneyimle” oluşturmayı başardığını söyledi.
Trend Micro, “Bu tür betikleri kullanarak, saldırganlar, bağlantı noktalarını kod alanı ortamlarında herkese açık bir şekilde açığa çıkararak kötü amaçlı içeriği hızlı bir oranda sunmak için GitHub Codespaces’i kolayca kötüye kullanabilir. Oluşturulan her Codespace’in benzersiz bir tanımlayıcısı olduğundan, ilişkili alt etki alanı da benzersizdir.” “Bu, saldırgana farklı açık dizin örnekleri oluşturmak için yeterli zemin sağlar.”
GitHub şu anda kanallarında bu konuda sessiz.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)
