tradingkey.logo
搜尋

蟲草漏洞使得任何擁有免費 GitHub 帳戶的人都能劫持微軟、谷歌和 Apache 的 CI/CD 流水線。

Cryptopolitan2026年6月25日 11:32
facebooktwitterlinkedin

安全公司 Novee 發現,蟲草菌是一種可利用的 CI/CD 漏洞,存在於開源存儲庫中,攻擊者可以利用該漏洞竊取dent、推送惡意代碼,並破壞一些全球最大軟件組織的運營。.

這些漏洞已在微軟、谷歌、Apache、Cloudflare 和 Python 軟件基金會的代碼庫中被發現,這些公司也聲稱已經修復了這些漏洞。. 

冬蟲夏草的弱點是什麼? 

安全公司Novee發現了一種 危險的新型漏洞 ,並將其稱爲“蟲草菌”漏洞。“蟲草菌”這個名字來源於一種寄生真菌,這種真菌會侵佔宿主,因爲這個漏洞允許任何擁有免費GitHub賬戶的人控制熱門開源項目。 

這些漏洞存在於微軟、谷歌、Apache、Cloudflare 和 Python 軟件基金會的代碼庫中。僅對 3 萬個代碼庫進行一次掃描,就發現了 300 條完全可利用的攻擊鏈。. 

攻擊者可以利用這些漏洞竊取dent、注入惡意代碼並破壞 軟件供應鏈 。雖然這些問題已被修復,但研究人員警告說,人工智能編碼助手仍會在數百萬個代碼庫中不斷重現這些漏洞。 

GitHub Actions 工作流處理運行測試、構建軟件和發佈版本等重要任務,但它們通常被視爲簡單的配置文件,而不是安全關鍵代碼。. 

攻擊鏈通常始於外部人員(任何擁有免費 GitHub 帳戶的人)提交拉取請求或在公共倉庫上發表評論。隨後,一個低權限工作流程會被激活,該流程會將外部人員的輸入視爲可信數據。.

之後,輸出會流入第二個以更高權限運行的工作流。這個第二個工作流可能持有云提供商的身份驗證令牌、軟件包註冊表dent或簽名密鑰。此時,攻擊者可以竊取永不過期的令牌,或者永久性地破壞代碼庫。. 

安全研究人員表示,這些流程中的每一步單獨來看都能通過安全審計。只有當有人 trac不受信任的數據在整個工作流程交接過程中的路徑時,漏洞纔會顯現出來。. 

哪些大型公司受到了此次漏洞的影響?

Novee 發現並報告了全球一些最大科技組織中已確認的漏洞。. 

例如,微軟的 Azure Sentinel 中包含一條拉取請求評論,該評論可能觸發攻擊者在微軟的持續集成 (CI) 基礎架構上執行代碼,並竊取一個永不過期的 GitHub 應用密鑰。該密鑰將授予攻擊者對微軟分發給客戶 Sentinel 工作區的安全檢測內容的持久寫入權限。.

Google 的 AI Agent Development Kit 代碼庫(在 GitHub 上擁有超過 9200 個 star)存在一個漏洞,攻擊者只需提交一個 pull request 即可獲得相關 Google Cloud 項目的最高權限級別(角色/所有者)。. 

研究人員在 Apache Doris 分析數據庫中發現了兩條零點擊攻擊路徑。一條路徑允許在任何拉取請求上發表評論來竊取硬編碼的 CIdent,而另一條路徑則允許通過派生的拉取請求竊取具有對代碼、包和頁面完全寫入權限的令牌。. 

Cloudflare 的 Workers SDK 基於 Wrangler CLI 工具鏈構建,存在漏洞,可通過精心構造的分支名稱觸發任意命令執行。. 

Python 軟件基金會的 Black 代碼格式化程序下載量超過 1.3 億次,但它存在一個缺陷,任何拉取請求都可能竊取該項目的自動化機器人令牌,然後該令牌可以批准進一步的拉取請求。.

Novee 向 Dark Reading 確認,在應用補丁之前,這些工作流程模式均未被利用。. 

Meged 建議首席信息安全官 (CISO) 將 CI/CD 工作流文件視爲 安全關鍵代碼

如果你正在閱讀這篇文章,你已經領先一步了。 訂閱我們的新聞簡報,繼續保持領先優勢。

免責聲明:本網站提供的資訊僅供教育和參考之用,不應視為財務或投資建議。

推薦文章

tradingkey.logo
* 參考、分析和交易策略由提供商Trading Central提供,觀點基於分析師的獨立評估和判斷,未考慮投資者的投資目標和財務狀況。
風險提示:我們的網站和行動應用程式僅提供關於某些投資產品的一般資訊。Finsights 不提供財務建議或對任何投資產品的推薦,且提供此類資訊不應被解釋為 Finsights 提供財務建議或推薦。
投資產品存在重大投資風險,包括可能損失投資的本金,且可能並不適合所有人。投資產品的過去表現並不代表其未來表現。
Finsights 可能允許第三方廣告商或關聯公司在我們的網站或行動應用程式的任何部分放置或投放廣告,並可能根據您與廣告的互動情況獲得報酬。
© 版權所有: FINSIGHTS MEDIA PTE. LTD. 版權所有