Исследователи в области кибербезопасности выявили новый класс уязвимостей в CI/CD (непрерывной интеграции и непрерывной доставке), которые позволяют злоумышленникам захватывать рабочие процессы и компрометировать цепочки поставок в открытом исходном коде. Эта "критически уязвимая модель" получила кодовое название Cordyceps и была обнаружена компанией Novee Security.

Уязвимость может предоставить злоумышленникам полный контроль над репозиториями более 300 организаций по всему миру, включая такие крупные компании, как Microsoft, Google и Apache. Это создает серьезные риски для безопасности, так как злоумышленники могут внедрять вредоносный код в проекты, что может привести к масштабным атакам на пользователей и компании.

Исследование показало, что уязвимости Cordyceps позволяют манипулировать CI/CD рабочими процессами, что может привести к изменению кода, который затем развертывается в продуктивной среде. Это подчеркивает важность защиты этих процессов от несанкционированного доступа.

Специалисты рекомендуют организациям пересмотреть свои механизмы безопасности, связанные с CI/CD, и внедрить дополнительные меры защиты, включая аудит прав доступа и мониторинг активности в репозиториях.

В условиях растущих угроз кибербезопасности компании должны быть особенно внимательны к вопросам безопасности своих цепочек поставок, особенно в свете недавних атак на открытые проекты, которые уже привели к значительным последствиям. Уязвимость Cordyceps служит напоминанием о необходимости постоянного мониторинга и укрепления безопасности в области разработки программного обеспечения.

Источник новости:
The Hacker News

Читать полностью