Investigadores de Aqua Security dicen que miles de repositorios en GitHub sean vulnerables a RepoJacking

GitHub

GitHub es una forja para alojar proyectos utilizando el sistema de control de versiones

Hace poco investigadores de Aqua Security dieron a conocer información sobre un análisis que realizaron en relación con la aplicabilidad del ataque RepoJacking a los repositorios de GitHub.

La esencia del problema es que después de eliminar o cambiar el nombre de los proyectos en GitHub, los repositorios de terceros pueden contener enlaces a nombres que ya no existen, por ejemplo, en la documentación, los scripts y las instrucciones de instalación de los archivos LÉAME.

Los investigadores mencionan que un atacante puede registrar un nombre de usuario en GitHub que duplique un nombre de usuario preexistente, colocar malware en un repositorio con el nombre duplicado y esperar que alguien lo descargue usando manuales sin parches o código antiguo que descargue dependencias de enlaces antiguos.

En contraste con estudios anteriores , nuestra investigación enfatiza las implicaciones de seguridad y la gravedad de esta base de datos si los atacantes la explotan. Muchos de los cuales pueden encontrar en él numerosos objetivos de alta calidad susceptibles de RepoJacking. En este blog, profundizamos en los escenarios de explotación de este ataque y brindamos ilustraciones de cada escenario utilizando ejemplos de la vida real.

Por ejemplo, el año pasado se obtuvo el control sobre la librería de PHP phpass de manera similar. GitHub tiene protección contra el nuevo registro de proyectos remotos, pero era posible omitirlo creando un repositorio con el mismo nombre en una cuenta arbitraria y luego cambiando el nombre de esta cuenta a la de destino. Si desea registrar un repositorio de usuario/representante donde se eliminó la cuenta de usuario, GitHub le permitirá volver a crear el usuario «usuario», pero no le permitirá crear el repositorio «representante». Puede evitar esta limitación creando el repositorio «representante» en la cuenta de otro usuario (por ejemplo, «usuario1») y luego cambiando el nombre de ese usuario a «usuario».

GitHub ahora está tratando de resistir tales manipulaciones, pero según Aqua Security, no todas las soluciones están bloqueadas y la protección solo se aplica a los proyectos más populares, que tenían más de 100 clones antes del cambio de nombre.

Al mismo tiempo, la protección no captura los proyectos que se han hecho populares después de cambiarles el nombre. Tampoco tiene en cuenta que un proyecto popular puede usar como dependencia un repositorio menos popular que fue renombrado previamente y que no está protegido (se puede atacar mediante sustitución de dependencia). Después del cambio de nombre, GitHub redirige automáticamente los enlaces antiguos al nuevo repositorio, pero esta redirección solo dura hasta que el usuario con el mismo nombre se registra, por lo que el código a menudo se olvida de corregir los enlaces al nuevo nombre.

Los atacantes no necesitan hacer todo este trabajo duro. No están vinculados a una organización específica. Pueden escanear Internet y encontrar cualquier víctima que deseen y si sienten que hay ganancias detrás del ataque, continuarán hasta que maximicen sus ganancias. Sitios web como el proyecto GHTorrent brindan datos asombrosos e invaluables.

El proyecto GHTorrent registra cualquier evento público (commit, PR, etc.) que suceda en Github y lo guarda en una base de datos. Cualquiera puede descargar un volcado de base de datos de un período de tiempo específico. Al utilizar este conjunto de datos, los actores maliciosos pueden descubrir los nombres históricos de varias organizaciones y ampliar su superficie de ataque potencial.

El estudio de Aqua Security examinó una muestra de 1,25 millones de repositorios, lo que corresponde a aproximadamente el 0,4 % del número total de repositorios en GitHub. La lista se obtuvo a partir del análisis del registro de cambios de un mes aleatorio (junio de 2019). Se encontró susceptibilidad al ataque RepoJacking en 36983 repositorios (2.95%).

Los investigadores también llevaron a cabo un ataque experimental que mostró la eficiencia del método. En varios repositorios modificados, se organizó la recopilación de información sobre las direcciones IP que descargaron los artefactos colocados en el repositorio. Como resultado, se registraron descargas de datos falsificados en las redes de varias grandes empresas.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.