Een kwetsbaarheid in GitHub repositories maakt het mogelijk supply chain-aanvallen uit te voeren die een groot aantal gebruikers kunnen treffen.
Nieuw onderzoek van Aqua Security toont dat 9 miljoen GitHub repositories potentieel kwetsbaar zijn voor de “RepoJacking”-aanval. De onderzoekers zeggen dat als de kwetsbaarheid wordt uitgebuit, dit kan leiden tot code execution op interne omgevingen van organisaties of op omgevingen van hun klanten.
RepoJacking kan optreden wanneer een GitHub gebruiker van naam verandert, bijvoorbeeld wanneer een organisatie een overname of fusie doormaakt of een nieuwe merknaam aanneemt. Om te voorkomen dat code afhankelijkheden in GitHub verbroken worden, maakt het systeem een link tussen de oudere naam en de nieuwe naam, waarbij de oude naam naar de nieuwe wordt omgeleid. Er ontstaan echter problemen als iemand de oude naam registreert, omdat die omleidingslink ongeldig wordt.
Een “RepoJacker” kan een gebruikersnaam registreren en een repository aanmaken met de oude naam van een organisatie. Elk project of code die afhankelijk is van de afhankelijkheden van het aangevallen project zal dan afhankelijkheden en code ophalen uit de door de aanvaller beheerde repository, die malware kan bevatten.
Zeer populaire doelen
Ilay Goldman en Yakir Kadkoda, twee onderzoekers van Aqua’s Nautilus-team, hebben hun bevindingen uiteengezet. “Als onderdeel van ons onderzoek vonden we een enorme bron gegevens waarmee we een dataset konden sampelen en een aantal zeer populaire doelwitten konden vinden”, legden ze uit.
Onder de opslagplaatsen die kwetsbaar bleken voor deze aanval bevonden zich organisaties zoals Google en Lyft. Ze werden allemaal op de hoogte gebracht van deze kwetsbaarheid en hebben direct de risico’s beperkt, aldus de onderzoekers.
Alles bij elkaar ontdekte het Aqua onderzoeksteam dat 2,95 procent van de bestudeerde repositories kwetsbaar waren voor RepoJacking. Aangezien GitHub 300 miljoen repositories heeft, betekent het dat 9 miljoen projecten kwetsbaar zijn.
Aqua Security raadt aan repositories regelmatig te controleren op links die bronnen van externe GitHub repositories kunnen halen, omdat verwijzingen naar projecten zoals Go-modules op elk moment van naam kunnen veranderen.
“Als je je organisatienaam wijzigt, zorg er dan voor dat je de vorige naam ook nog steeds bezit, zelfs als placeholder, om te voorkomen dat aanvallers deze kunnen aanmaken”, aldus Aqua Security.