Παραβιάσεις Δεδομένων

Η Επίθεση Megalodon Πλήττει 5.561 Αποθετήρια GitHub σε Έξι Ώρες

23 Μαΐου 20266 λεπτά ανάγνωση

By Τζέιμς Οκαφόρ — Πιστοποιημένος κατά CIPP/E, ειδικός σε ψηφιακά δικαιώματα και δίκαιο της ιδιωτικής ζωής

Η Επίθεση Megalodon Πλήττει 5.561 Αποθετήρια GitHub σε Έξι Ώρες

Μια επίθεση στην αλυσίδα εφοδιασμού CI/CD του GitHub με την ονομασία Megalodon έχει θέσει νέο σημείο αναφοράς για αυτοματοποιημένη, μεγάλης κλίμακας παραβίαση αποθετηρίων. Σε ένα μόνο παράθυρο έξι ωρών, οι επιτιθέμενοι ώθησαν 5.718 κακόβουλες ενημερώσεις κώδικα σε 5.561 αποθετήρια GitHub, χρησιμοποιώντας ψεύτικες ταυτότητες για να εισάγουν αρχεία ροής εργασίας σχεδιασμένα να εξάγουν αθόρυβα διαπιστευτήρια cloud, κλειδιά SSH και μυστικά πηγαίου κώδικα. Η απόλυτη ταχύτητα και ο όγκος της εκστρατείας σηματοδοτεί μια στροφή προς βιομηχανοποιημένες επιθέσεις αγωγών που ξεπερνούν την ικανότητα των περισσότερων ομάδων να εντοπίσουν ή να ανταποκριθούν σε πραγματικό χρόνο.

Πώς Λειτούργησε η Επίθεση Megalodon: Ψεύτικες Ταυτότητες και Αυτοματοποιημένη Έγχυση Ροής Εργασίας

Οι επιτιθέμενοι πίσω από το Megalodon δεν βασίστηκαν σε εκμεταλλεύσεις zero-day ή εξελιγμένο κακόβουλο λογισμικό παραδοθέν σε μηχανήματα τελικών χρηστών. Αντ' αυτού, εκμεταλλεύτηκαν την αξιόπιστη φύση της ίδιας της υποδομής CI/CD του GitHub. Κατασκευάζοντας ψεύτικες ταυτότητες συντελεστών, υπέβαλαν αιτήματα pull request ή τροποποίησαν άμεσα αρχεία διαμόρφωσης ροής εργασίας, συγκεκριμένα τα αρχεία YAML που χρησιμοποιεί το GitHub Actions για τον ορισμό αυτοματοποιημένων αγωγών κατασκευής και ανάπτυξης.

Μόλις ένα κακόβουλο αρχείο ροής εργασίας φτάσει σε ένα αποθετήριο, εκτελείται αυτόματα κάθε φορά που ενεργοποιείται ο αγωγός, συνήθως σε συμβάντα push ή συγχώνευση αιτημάτων pull request. Αυτή η εκτέλεση γίνεται μέσα στο περιβάλλον runner του ίδιου του GitHub, το οποίο συχνά έχει πρόσβαση σε μυστικά αποθετηρίου, μεταβλητές περιβάλλοντος και διακριτικά πρόσβασης που αφορούν παρόχους cloud. Οι ροές εργασίας του Megalodon χρησιμοποίησαν αυτό το παράθυρο πρόσβασης για να εξάγουν δεδομένα προς τα έξω, πιθανότατα σε υποδομή υπό τον έλεγχο των επιτιθέμενων, πριν ο υπεύθυνος οποιουδήποτε αποθετηρίου είχε λόγο να ελέγξει την αλλαγή.

Το καθοριστικό χαρακτηριστικό της εκστρατείας είναι η αυτοματοποίησή της. Η εκτέλεση σχεδόν 5.720 διαφορετικών ωθήσεων κώδικα σε περισσότερα από 5.500 αποθετήρια σε έξι ώρες δεν είναι χειροκίνητη προσπάθεια. Απαιτεί εργαλεία με σενάρια που μπορούν να εντοπίζουν στόχους, να πιστοποιούν την ταυτότητά τους με ψεύτικες ταυτότητες, να δημιουργούν αληθοφανείς τροποποιήσεις ροής εργασίας και να τις υποβάλλουν παράλληλα. Αυτό το επίπεδο αυτοματοποίησης σημαίνει ότι η επιφάνεια επίθεσης επεκτάθηκε γρηγορότερα από όσο μπορούσε να παρακολουθήσει οποιαδήποτε ανθρώπινη ομάδα παρακολούθησης.

Ποια Διαπιστευτήρια Κλάπηκαν και Γιατί Αυτό Έχει Σημασία για τους Προγραμματιστές

Το ωφέλιμο φορτίο κάθε κακόβουλης ροής εργασίας ήταν η συγκομιδή διαπιστευτηρίων. Οι στόχοι περιλάμβαναν διαπιστευτήρια παρόχων cloud, συνήθως κλειδιά πρόσβασης AWS, GCP και Azure αποθηκευμένα ως GitHub Secrets ή αναφερόμενα μέσα σε μεταβλητές περιβάλλοντος ροής εργασίας. Τα ιδιωτικά κλειδιά SSH που χρησιμοποιούνται για πρόσβαση σε διακομιστές ή πιστοποίηση μεταξύ υπηρεσιών ήταν επίσης στο στόχαστρο, μαζί με οποιαδήποτε απλά μυστικά κειμένου ενσωματωμένα στον πηγαίο κώδικα ή αρχεία διαμόρφωσης.

Αυτοί οι τύποι διαπιστευτηρίων φέρουν αλυσιδωτό κίνδυνο. Ένα κλεμμένο κλειδί πρόσβασης AWS συνδεδεμένο με έναν ρόλο IAM με ευρείες άδειες μπορεί να επιτρέψει σε έναν επιτιθέμενο να εκκινήσει υποδομή, να εξάγει αποθήκες δεδομένων ή να προχωρήσει πλευρικά σε συνδεδεμένες υπηρεσίες μέσα σε λίγα λεπτά. Τα κλειδιά SSH μπορούν να παρέχουν μόνιμη πρόσβαση σε διακομιστές παραγωγής πολύ μετά τον εντοπισμό της αρχικής παραβίασης και τον καθαρισμό του αποθετηρίου GitHub. Η αξία αυτών των δεδομένων εκτείνεται πολύ πέρα από τα ίδια τα αποθετήρια.

Αυτό δεν είναι ένα υποθετικό μοτίβο κινδύνου. Νωρίτερα φέτος, ένας ανάδοχος της CISA εξέθεσε κλειδιά AWS και κωδικούς πρόσβασης σε απλό κείμενο σε δημόσιο αποθετήριο GitHub, αποδεικνύοντας ότι η κακή διαχείριση διαπιστευτηρίων σε περιβάλλοντα ανάπτυξης επηρεάζει ακόμα και οργανισμούς με αφιερωμένες εντολές ασφαλείας. Το Megalodon απλώς βιομηχανοποίησε την ίδια διαδρομή εκμετάλλευσης που τα μεμονωμένα ανθρώπινα λάθη έχουν ήδη αποδείξει επανειλημμένα.

Αξίζει επίσης να σημειωθεί ότι τα εργαλεία και οι αγωγοί κλοπής διαπιστευτηρίων είναι οι ίδιοι στόχοι. Η πρόσφατη επίθεση στην αλυσίδα εφοδιασμού του Bitwarden CLI έδειξε ότι ακόμα και τα εργαλεία που χρησιμοποιούν οι προγραμματιστές για τη διαχείριση μυστικών μπορούν να παραβιαστούν ανάντη, πράγμα που σημαίνει ότι η αλυσίδα εμπιστοσύνης εκτείνεται πέρα από οποιοδήποτε μεμονωμένο αποθετήριο ή διαμόρφωση αγωγού.

Άμυνα σε Βάθος για Ομάδες Ανάπτυξης: Διαχείριση Μυστικών, Κρυπτογραφημένες Επικοινωνίες και Έλεγχοι Πρόσβασης

Το Megalodon εκμεταλλεύτηκε αρκετές αδυναμίες που είναι συνηθισμένες τόσο σε αποθετήρια ανοιχτού κώδικα όσο και σε ιδιωτικά. Η αντιμετώπισή τους απαιτεί διαστρωματωμένη προσέγγιση αντί για έναν μόνο έλεγχο.

Πρώτον, τα μυστικά δεν πρέπει ποτέ να αποθηκεύονται ως απλό κείμενο μέσα σε αρχεία ροής εργασίας, αρχεία διαμόρφωσης περιβάλλοντος ή πηγαίο κώδικα. Η λειτουργία κρυπτογραφημένων Secrets του GitHub παρέχει μια βάση, αλλά αυτά τα μυστικά θα πρέπει επίσης να ακολουθούν την αρχή της ελάχιστης δυνατής πρόσβασης. Μια ροή εργασίας που αναπτύσσει σε περιβάλλον σταδιοποίησης δεν χρειάζεται διαπιστευτήρια βάσης δεδομένων παραγωγής. Ο στενός ορισμός του πεδίου εφαρμογής των μυστικών περιορίζει την έκταση της ζημιάς όταν μια ροή εργασίας παραβιαστεί.

Δεύτερον, οι κανόνες προστασίας κλάδου και οι απαιτούμενοι αναθεωρητές για αλλαγές σε αρχεία ροής εργασίας δημιουργούν ένα ανθρώπινο σημείο ελέγχου που οι αυτοματοποιημένες επιθέσεις πρέπει να παρακάμψουν. Η απαίτηση τουλάχιστον μιας εγκεκριμένης αναθεώρησης πριν από οποιαδήποτε τροποποίηση στα αρχεία .github/workflows/ μπορεί να επιβραδύνει ή να αποκλείσει το είδος της ταχείας αυτοματοποιημένης έγχυσης στην οποία βασίστηκε το Megalodon.

Τρίτον, η καρφίτσωση τρίτων GitHub Actions σε συγκεκριμένα SHA δεσμεύσεων αντί για κινητές ετικέτες αποτρέπει ένα ξεχωριστό αλλά σχετικό φορέα επίθεσης όπου παραβιασμένοι εκδότες ενέργειας ενημερώνουν αθόρυβα μια ετικέτα ώστε να δείχνει σε κακόβουλο κώδικα. Αυτός ήταν ο μηχανισμός σε αρκετά πρόσφατα συμβάντα αλυσίδας εφοδιασμού GitHub Actions.

Τέλος, η καταγραφή ελέγχου και η ανίχνευση ανωμαλιών σε εκτελέσεις ροής εργασίας μπορεί να αναδείξει απροσδόκητες εξερχόμενες συνδέσεις δικτύου ή ασυνήθιστα μοτίβα πρόσβασης σε μυστικά. Το API αρχείου καταγραφής ελέγχου του GitHub και εργαλεία ασφαλείας CI/CD τρίτων μπορούν να βοηθήσουν στην ανάδειξη αυτών των σημάτων.

Πώς να Ελέγξετε Τώρα τα Αποθετήρια GitHub και τους Αγωγούς CI/CD σας

Αν ο οργανισμός σας διατηρεί αποθετήρια GitHub με ενεργούς αγωγούς CI/CD, μερικά άμεσα βήματα αξίζει να προτεραιοποιηθούν.

Ελέγξτε όλα τα αρχεία κάτω από το .github/workflows/ για τυχόν πρόσφατα προστεθέντα ή τροποποιημένα στοιχεία, ιδιαίτερα εκείνα που προστέθηκαν από συντελεστές που δεν αναγνωρίζετε. Ελέγξτε το ιστορικό δεσμεύσεων ειδικά για αρχεία ροής εργασίας, όχι μόνο την προεπιλεγμένη προβολή κλάδου.

Εναλλάξτε οποιαδήποτε μυστικά ήταν ενεργά κατά την περίοδο της επίθεσης ή για τα οποία δεν μπορείτε να επιβεβαιώσετε με βεβαιότητα ότι δεν εκτέθηκαν. Για διαπιστευτήρια cloud, ελέγξτε τα αρχεία καταγραφής πρόσβασης από την πλευρά του παρόχου για ασυνήθιστες κλήσεις API κατά το ίδιο παράθυρο χρόνου.

Ελέγξτε ποιοι συντελεστές αποθετηρίου και εφαρμογές έχουν δικαίωμα εγγραφής. Οι επιθέσεις ψεύτικης ταυτότητας εξαρτώνται από την ικανότητα ώθησης κώδικα, επομένως η σύσφιξη των δικαιωμάτων συντελεστών και η ενεργοποίηση απαιτούμενων αναθεωρήσεων για αλλαγές ροής εργασίας αφαιρεί ένα βασικό σημείο εισόδου.

Τέλος, εξετάστε την υιοθέτηση ενός αφιερωμένου εργαλείου σάρωσης μυστικών που εκτελείται σε κάθε δέσμευση, εντοπίζοντας διαπιστευτήρια πριν δεσμευτούν ποτέ σε ένα αποθετήριο. Αρκετές επιλογές ανοιχτού κώδικα και εμπορικές επιλογές ενσωματώνονται άμεσα με το GitHub.

Τι Σημαίνει Αυτό για Εσάς

Η εκστρατεία Megalodon είναι μια πρακτική απεικόνιση του γιατί οι αγωγοί CI/CD έχουν γίνει μια πρωταρχική επιφάνεια επίθεσης. Οι προγραμματιστές και οι ομάδες ασφαλείας που αντιμετωπίζουν την ασφάλεια αγωγών ως δευτερεύουσα σε σχέση με την ασφάλεια εφαρμογών αφήνουν μια διάπλατα ανοιχτή διαδρομή προς τα πιο ευαίσθητα διαπιστευτήριά τους.

Ξεκινήστε με έναν έλεγχο μυστικών αυτή την εβδομάδα. Ελέγξτε ποιος μπορεί να τροποποιήσει τα αρχεία ροής εργασίας σας, εναλλάξτε διαπιστευτήρια που δεν μπορείτε να επαληθεύσετε ως καθαρά και ενεργοποιήστε την προστασία κλάδου στον προεπιλεγμένο κλάδο σας αν δεν το έχετε κάνει ήδη. Η ταχύτητα της επίθεσης Megalodon σημαίνει ότι μέχρι να ενεργοποιηθεί μια ειδοποίηση, η εξαγωγή δεδομένων μπορεί ήδη να έχει ολοκληρωθεί. Η πρόληψη και ο ορισμός πεδίου πρόσβασης είναι οι μόνες αξιόπιστες άμυνες.

// FAQ

Πόσα αποθετήρια GitHub επηρεάστηκαν από την επίθεση Megalodon;

Η επίθεση Megalodon παραβίασε 5.561 αποθετήρια GitHub, με τους επιτιθέμενους να ωθούν 5.718 κακόβουλες ενημερώσεις κώδικα σε αυτά τα αποθετήρια σε ένα μόνο παράθυρο έξι ωρών.

Ποια μέθοδο χρησιμοποίησαν οι επιτιθέμενοι για να εκτελέσουν την επίθεση Megalodon;

Οι επιτιθέμενοι χρησιμοποίησαν ψεύτικες ταυτότητες συντελεστών για να υποβάλουν αιτήματα pull request ή να τροποποιήσουν άμεσα αρχεία ροής εργασίας YAML του GitHub Actions, τα οποία στη συνέχεια εκτελούνταν αυτόματα μέσα στο περιβάλλον αγωγού CI/CD του GitHub.

Τι είδους διαπιστευτήρια και δεδομένα κλάπηκαν κατά τη διάρκεια της επίθεσης;

Οι κακόβουλες ροές εργασίας στόχευαν διαπιστευτήρια παρόχων cloud όπως κλειδιά πρόσβασης AWS, GCP και Azure, ιδιωτικά κλειδιά SSH και μυστικά σε απλό κείμενο ενσωματωμένα στον πηγαίο κώδικα ή αρχεία διαμόρφωσης.

Βασίστηκε η επίθεση Megalodon σε εκμεταλλεύσεις zero-day ή κακόβουλο λογισμικό;

Όχι, οι επιτιθέμενοι δεν χρησιμοποίησαν εκμεταλλεύσεις zero-day ή εξελιγμένο κακόβουλο λογισμικό. Αντ' αυτού, εκμεταλλεύτηκαν την αξιόπιστη φύση της ίδιας της υποδομής CI/CD του GitHub εισάγοντας κακόβουλα αρχεία ροής εργασίας.

Γιατί η αυτοματοποίηση θεωρείται καθοριστικό χαρακτηριστικό της επίθεσης Megalodon;

Η εκτέλεση σχεδόν 5.720 ωθήσεων κώδικα σε περισσότερα από 5.500 αποθετήρια σε έξι ώρες απαιτούσε εργαλεία με σενάρια για τον εντοπισμό στόχων, την πιστοποίηση ταυτότητας και την υποβολή αλλαγών παράλληλα, επεκτείνοντας την επιφάνεια επίθεσης γρηγορότερα από όσο μπορούσαν να παρακολουθήσουν ανθρώπινες ομάδες παρακολούθησης.

Η Επίθεση Megalodon Πλήττει 5.561 Αποθετήρια GitHub σε Έξι Ώρες

Πώς Λειτούργησε η Επίθεση Megalodon: Ψεύτικες Ταυτότητες και Αυτοματοποιημένη Έγχυση Ροής Εργασίας

Ποια Διαπιστευτήρια Κλάπηκαν και Γιατί Αυτό Έχει Σημασία για τους Προγραμματιστές

Άμυνα σε Βάθος για Ομάδες Ανάπτυξης: Διαχείριση Μυστικών, Κρυπτογραφημένες Επικοινωνίες και Έλεγχοι Πρόσβασης

Πώς να Ελέγξετε Τώρα τα Αποθετήρια GitHub και τους Αγωγούς CI/CD σας

Τι Σημαίνει Αυτό για Εσάς

// FAQ

// Σχετικά