tradingkey.logo
tradingkey.logo
検索

冬虫夏草菌の脆弱性により、無料のGitHubアカウントを持つ人なら誰でもMicrosoft、Google、ApacheのCI/CDパイプラインを乗っ取ることが可能になった。

CryptopolitanJun 25, 2026 11:32 AM
facebooktwitterlinkedin
すべてのコメントを見る0

セキュリティ企業のNoveeは、オープンソースリポジトリ全体に存在する悪用可能なCI/CDの脆弱性のクラスとしてCordycepsを明らかにした。この脆弱性により、攻撃者はdent情報を盗み、悪意のあるコードを配布し、世界最大規模のソフトウェア企業の一部で業務を侵害することが可能になった。.

これらの脆弱性は、マイクロソフト、グーグル、アパッチ、クラウドフレア、およびPythonソフトウェア財団が所有するリポジトリ全体で発見されており、各社は既に修正済みであると主張している。. 

冬虫夏草菌の脆弱性とは何ですか? 

セキュリティ企業のNoveeは、 CI/CDパイプラインに「コルディセプス」と呼ばれる危険な新たな脆弱性を発見した。「コルディセプス」という名前は、宿主を乗っ取る寄生菌に由来しており、この脆弱性を利用すれば、無料のGitHubアカウントを持つ人なら誰でも、人気のあるオープンソースプロジェクトを制御できてしまう。 

これらの脆弱性は、Microsoft、Google、Apache、Cloudflare、およびPython Software Foundationが所有するリポジトリ全体で発見されました。3万のリポジトリを一度スキャンしただけで、完全に悪用可能な攻撃チェーンが300件見つかりました。. 

が可能ですdent情報を盗み出し、悪意のあるコードを注入し、 ソフトウェアサプライチェーン 。これらの問題は既に修正されていますが、研究者らは、AIコーディングアシスタントが数百万ものリポジトリでこれらの脆弱性を再現し続ける可能性があると警告しています。 

GitHub Actionsのワークフローは、テストの実行、ソフトウェアのビルド、リリースの公開といった重要なタスクを処理しますが、セキュリティ上重要なコードとしてではなく、単なる設定ファイルとして扱われることがよくあります。. 

攻撃の連鎖は通常、無料のGitHubアカウントを持つ誰でも可能な外部の人物が、公開リポジトリにプルリクエストを送信したりコメントを残したりすることから始まります。その後、その外部の人物の入力を信頼できるデータとして受け入れる低権限のワークフローが起動されます。.

そこから出力は、管理者権限で実行される2番目のワークフローへと流れます。この2番目のワークフローには、クラウドプロバイダーの認証トークン、パッケージレジストリの認証dent、または署名キーが含まれている可能性があります。そしてこの時点で、攻撃者は有効期限のないトークンを盗むか、リポジトリを永久的に侵害することができます。. 

セキュリティ研究者によると、これらの一連のプロセスにおける個々のステップは、それぞれ単独ではセキュリティ監査に合格する可能性がある。脆弱性が明らかになるのは、信頼できないデータがワークフローの引き継ぎプロセス全体にわたってどのように流れたかを trac場合のみである。. 

この脆弱性の影響を受けた主要企業はどれですか?

Noveeは、世界最大規模のテクノロジー企業数社において、確認済みの脆弱性を発見し、報告した。. 

例えば、MicrosoftのAzure Sentinelには、MicrosoftのCIインフラストラクチャ上で攻撃者のコード実行を誘発し、有効期限のないGitHubアプリキーを盗み出す可能性のあるプルリクエストのコメントが含まれていました。このキーがあれば、Microsoftが顧客のSentinelワークスペースに配布するセキュリティ検出コンテンツへの永続的な書き込みアクセス権が付与されていました。.

9,200以上のGitHubスターを獲得しているGoogleのAIエージェント開発キットのリポジトリに、単一のプルリクエストによって攻撃者が関連するGoogle Cloudプロジェクトで最高レベルの権限(ロール/所有者)を取得できる脆弱性があった。. 

ApacheのDoris Analyticsデータベースにおいて、研究者らは2つのゼロクリック攻撃経路を発見した。1つは、任意のプルリクエストにコメントすることでハードコードされたCIdent情報を盗み出すことを可能にするもので、もう1つは、フォークされたプルリクエストによってコード、パッケージ、ページ全体にわたる完全な書き込み権限を持つトークンを盗み出すことを可能にするものだった。. 

CloudflareのWorkers SDKは、Wrangler CLIツールチェーンをベースに構築されているが、特別に細工されたブランチ名によって任意のコマンドが実行される脆弱性があった。. 

1億3000万回以上ダウンロードされているPythonソフトウェア財団のコードフォーマッター「Black」に、プルリクエストによってプロジェクトの自動化ボットトークンが盗まれ、さらに他のプルリクエストが承認される可能性があるという欠陥があった。.

NoveeはDark Readingに対し、パッチ適用前にこれらのワークフローパターンが悪用されたことは一度もないと確認した。. 

Megedは、CISOがCI/CDワークフローファイルを セキュリティ上重要なコード

この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。

免責事項:本サイトで提供する情報は教育・情報提供を目的としたものであり、金融・投資アドバイスとして解釈されるべきではありません。

コメント (0)

$ボタンをクリックし、シンボルを入力して、株式、ETF、またはその他のティッカーシンボルをリンクします。

0/500
コメントガイドライン
読み込み中...

おすすめ記事