نفوذگرها می‌توانند از مخازن گیت‌هاب برای حمله‌ی پنهانی به توسعه‌دهندگان استفاده کنند

اخیراً کارشناسان در کنفرانس امنیتی کلاه سیاه‌ها در لاس‌وگاس نشان دادند که عاملان مخرب می‌توانند از گیت‌هاب و سایر خدماتی که میزبان مخازن گیت هستند، برای حملات پنهانی که توسعه‌دهندگان نرم‌افزار را هدف قرار می‌دهند، سوءاستفاده کنند.

 

کلینت گیبلِر، محقق امنیتی گروه NCC، و نوح بِددوم، محقق امنیتی و مدیر امنیت زیرساخت Datadog، سامانه‌های سازمان‌های توسعه‌دهنده‌ی نرم‌افزار را بررسی کرده و متوجه شدند که در بسیاری موارد، نکته‌ی اصلی شکست امنیتی، مدیریت نادرست و یا درک نادرست از روابط درست معرفی شده است. تجزیه و تحلیل عمیق روابط درست میان یک سازمان، توسعه‌دهندگان آن، بسترها و کد، مجموعه‌ای از حفره‌های امنیتی را نشان می‌دهد که می‌تواند برای گریز از راه‌کارهای امنیتی و دسترسی مداوم به سامانه‌های آن، مورد بهره‌برداری قرار گیرد.

 

محیط‌های متمرکز بر توسعه عبارتند از: ایستگاه‌های کاری، کاربران عمومی، توسعه‌دهندگان محلی و از راه دور، سامانه‌های کنترل نسخه، مخازن کد، سامانه‌های یکپارچه‌ی پیوسته و سامانه‌های طراحی و تولید. گیبلِر و بِددوم نشان دادند که روابط درست بین این مولفه‌ها، به‌ویژه در محیط‌های توسعه‌ی نرم‌افزارهای چابک، اگر به‌درستی مدیریت نشوند، خطرات جدی امنیتی در پی دارند. علاوه بر این، کارشناسان هشدار دادند که سازمان‌ها اغلب می‌توانند سطوح ناخواسته‌ای از روابط درست را معرفی کنند. برای مثال، حذف کنترل‌های امنیتی برای انجام سریع‌تر کارها و جلسات فوری.

 

به‌منظور نشان دادن چگونگی سوءاستفاده از این روابط مبتنی بر اعتماد، گیبلِر و بِددوم یک ابزار تست نفوذ با نام GitPwnd ایجاد کردند. GitPwnd به مهاجمان اجازه‌ی ارتباط با دستگاه‌های به خطر افتاده از طریق مخازن گیت، که اطلاعات تاریخچه‌ی نرم‌افزار را ذخیره می‌کنند، را می‌دهد. دستورات از طریق مخزن گیت به دستگاه نفوذ شده ارسال شده و پاسخ بر روی همان لایه‌ی انتقالی دریافت می‌شود. احتمال این‌که قربانی متوجه ترافیک مخرب شود، کم است، چرا که معمولاً توسط یک توسعه‌دهنده به‌عنوان یک عملیات پنهان انجام می‌شود. GitPwnd از گیت‌هاب برای میزبانی مخازن گیت مهاجم استفاده می‌کند، اما محققان اشاره کردند که سایر خدمات مانند بیت‌باکِت یا گیت‌لب نیز به‌خوبی کار می‌کنند.

 

مهاجم می‌تواند یک نسخه از مخزن عمومی را برای غیرقابل مشاهده کردن ارتباطات تا حد ممکن ایجاد کند. به‌منظور پنهان کردن بیشتر ترافیک مخرب به‌عنوان گردش‌کار کاربر عادی، مهاجم می‌تواند از تله‌های گیت سوءاستفاده کند. تله‌های گیت اسکریپت‌هایی هستند که به‌صورت خودکار اجرا می‌شوند، زمانی‌که توسعه‌دهنده دستورات گیت را در فهرست مخزن اجرا می‌کند و از آنجایی‌که تله‌ها تحت کنترل نسخه قرار ندارند، هنگام استفاده از گیت برای تعیین تغییرات پرونده، تغییرات ایجاد شده در آن‌ها نمایش داده نمی‌شود و درنتیجه شناسایی کد مخرب مشکل‌تر است.

 

هنگامی‌که مهاجم از طریق عملیات فیشینگ یا دیگر روش‌ها به سامانه‌های قربانی دسترسی پیدا می‌کند، GitPwnd می‌تواند تمام این فرآیند را به‌صورت خودکار انجام دهد. نفوذگر می‌تواند دستورات دلخواه پایتون را در دستگاه‌های آسیب‌دیده اجرا کند تا به آرامی اطلاعات را سرقت کرده و کارهای دیگر را تکمیل نماید. ابزار GitPwnd متن‌باز بوده و بر روی گیت‌هاب در دسترس است. درحالی‌که عاملان مخرب می‌توانند از آن سوءاستفاده کنند، محققان به سکیوریتی‌ویک گفتند که هنوز برای استفاده‌ی مؤثر از این ابزار، به یک مهاجم ماهر نیاز است. علاوه بر این، این ابزار در برخی از جنبه‌های خاص برای جلوگیری از سوءاستفاده به‌صورت دارای نویز طراحی شده‌اند.

 

حمله به توسعه‌دهندگان نرم‌افزار، بی‌سابقه نیست. چند ماه پیش، شرکت‌های امنیتی ای‌سِت و پالوآلتو گزارش دادند یک گروه تهدیدکننده که توسعه‌دهندگان متن‌باز، به‌ویژه آن‌هایی که از گیت‌هاب استفاده می‌کردند، را هدف قرار داده بود، توانست برای بیش از سه سال زیر رادار باقی بماند. در مورد سوءاستفاده از گیت‌هاب، گروه تهدیدکننده‌ی مرتبط با چین که با عنوان Winnti شناخته شده است، از این خدمات برای دستیابی به آدرس IP و تعداد درگاه‌های کارگزارهای C & C استفاده می‌کند، که در حمله به سازمان‌های آسیای جنوب شرقی مورد استفاده قرار می‌گیرد.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید