JFrog entdeckt 13 Schwachstellen in GitHub-Repositorys

Die gemeldeten Ergebnisse tragen dazu bei, die globale Technologie-Infrastruktur mit Milliarden von Nutzern besser vor Angriffen auf CI/CD-Workflows im Stil von „Shai-Hulud“ zu schützen.

JFrog, das Liquid-Software-Unternehmen und Entwickler der JFrog Software Supply Chain Plattform, gibt die Entdeckung von 13 Schwachstellen, darunter 10 kritische, in CI/CD-Workflows innerhalb bekannter GitHub-Repositorys durch seine seine Sicherheitsforscher, bekannt. Diese wurden mit JFrogs RepoHunter entdeckt, einem KI-Sicherheitssbot, der zur Erkennung von Schwachstellen in CI/CD-Workflows entwickelt wurde.

Die vom Security Research Team durch die Erkennung anfälliger Workflow-Muster entdeckten Schwachstellen werden allgemein als „Pwn Requests“ bezeichnet. Die Schwachstellen wurden in Repositorys wie Ansible, einer Automatisierungssoftware, der Millionen von Organisationen, darunter Fortune-500-Unternehmen, vertrauen, und QGIS, einem häufig von Regierungsorganisationen verwendeten Tool zur Kartenerstellung und Datenvisualisierung, gefunden.

„Diese Entdeckung ist ein Weckruf für die Branche, da sie zwei zentrale Probleme deutlich macht. Erstens stellen CI/CD-Pipelines inzwischen ein erhebliches Risiko dar, da Angreifer gezielt Schwachstellen in Open-Source-Projekten ausnutzen. Die 13 identifizierten „Pwn Request“-Schwachstellen zeigen, dass sich Angriffe zunehmend von direkten Attacken auf Paketmanager hin zum Hijacking von Build- und Entwicklungs-Pipelines verlagern“, sagt Shachar Menashe, VP of Security Research bei JFrog.. „Zweitens beweist sie, dass die Abhängigkeit der Branche von vertrauensbasierter Automatisierung von Hackern in großem Umfang ausgenutzt wird. Unser KI-gestützter Bot RepoHunter zeigt, dass KI-Technologien bei Missbrauch die globalen Software-Lieferketten erheblich schädigen können. Angriffe, für deren Vorbereitung Bedrohungsakteure früher Monate benötigten, können heute innerhalb weniger Tage ausgeführt werden. Dies unterstreicht, wie wichtig es ist, vertrauenswürdige Partner mit diesen Tools auszustatten, um potenziellen Bedrohungen schnell entgegenzuwirken.“

Die neue Angriffsfläche– CI/CD-Workflows

Die Schwachstellen wurden in Repositorys wie Ansible, einer Automatisierungssoftware, der Millionen von Unternehmensanwendern, darunter Fortune-500-Unternehmen, vertrauen, und QGIS, einem Kartierungs- und Datenvisualisierungstool, das häufig von Regierungsorganisationen verwendet wird, gefunden.

In der modernen Softwareentwicklung sind CI/CD-Pipelines zum Rückgrat einer effizienten und schnellen Softwarebereitstellung geworden. Diese automatisierten Systeme optimieren den Weg vom Code-Commit bis zur Produktion und ermöglichen es Unternehmen, Funktionen schneller als je zuvor bereitzustellen. Dies hat CI/CD-Pipelines jedoch auch zu einem der attraktivsten Ziele für Angreifer gemacht, da sie ein direkten Weg zu den „Kronjuwelen“ sind.

Was JFrog’s RepoHunter verhindert hat

Durch das Öffnen manipulierter Pull-Requests, die Schwachstellen in Metadaten oder im Code ausnutzen, können Angreifer sensible Informationen direkt abgreifen. Dazu zählen etwa Cloud-Zugangsdaten, Signaturschlüssel oder Bereitstellungstoken. Mit diesen Daten lassen sich anschließend dieselben Projekte mit Schadcode kompromittieren – und so weitreichende Angriffe auf die Software-Lieferkette starten.

Die 13 neuen Schwachstellen wirken sich auf wichtige Branchen-Frameworks und Anwendungsfälle aus, wie zum Beispiel:

• Softwareentwickler-Lieferketten-Workflows: Die in Ansible entdeckten Schwachstellen hätten die Kompromittierung von 29 Paketen ermöglichen können, die zusammen monatlich Millionen Downloads verzeichnen und damit potenziell die Entwicklungsumgebungen aller nachgelagerten Nutzer gefährden.
• KI-gestützte mobile Zahlungssysteme: Schwachstellen wurden in Xorbitsaiund Tencent/ncnn gefunden – den KI-Frameworks, die die 1,4 Milliarden Nutzer von WeChat Pay unterstützen.
• Programmiersprachen-Toolchains: Eine kritische Schwachstelle in einem tc39-Vorschlags-Repository hätte das Vertrauen in den Standardisierungsprozess bei JavaScript selbst gefährden und ein weitreichendes Risiko für das gesamte Ökosystem schaffen können. Darüber hinaus wurden auch Schwachstellen in p4lang und typst entdeckt.

Die Sicherheitsforscher haben außerdem Schwachstellen in Eclipse Theia, Petgraph Rust Libraries und sdkman (Entwicklertools), QGIS(Geodatenkartierung), telepresence (CNCF-Open-Source-Tool) und anderen entdeckt und behoben. Diese hatten das Potenzial, die Softwaresicherheit von Unternehmen zu schwächen, sowie Leistungsprobleme und Datenverluste zu verursachen. Der Schutz dieser Frameworks ist von entscheidender Bedeutung, um die Integrität und Zuverlässigkeit von Services zu gewährleisten, die sich direkt auf das tägliche Leben der Endnutzer auswirken.

Kürzlich wurden sieben weitere Repositorys von Microsoft, DataDog, der CNCF und beliebten Open-Source-Projekten wie Trivy von AI-gestützten Techniken ähnlich wie RepoHunter angegriffen, was die Wirksamkeit Ki-gestützter Sicherheitsbots unter Beweis stellt und die Bedeutung der Bereitstellung leistungsstarker KI-Technologien für White-Hat-Hacker unterstreicht.

Die oben genannten Forschungsergebnisse wurden in die JFrog-Plattform integriert, um Kunden dabei zu unterstützen, anfällige Workflows zu erkennen, die zu einer Kompromittierung von Open-Source-Repositorys führen können.

Die komplette Untersuchung des JFrog Security Research Teams finden Sie in diesem Blog.

Mehr erfahren

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk