蟲草漏洞使得任何擁有免費 GitHub 帳戶的人都能劫持微軟、谷歌和 Apache 的 CI/CD 流水線。
安全公司 Novee 發現,蟲草菌是一種可利用的 CI/CD 漏洞,存在於開源存儲庫中,攻擊者可以利用該漏洞竊取dent、推送惡意代碼,並破壞一些全球最大軟件組織的運營。.
這些漏洞已在微軟、谷歌、Apache、Cloudflare 和 Python 軟件基金會的代碼庫中被發現,這些公司也聲稱已經修復了這些漏洞。.
冬蟲夏草的弱點是什麼?
安全公司Novee發現了一種 危險的新型漏洞 ,並將其稱爲“蟲草菌”漏洞。“蟲草菌”這個名字來源於一種寄生真菌,這種真菌會侵佔宿主,因爲這個漏洞允許任何擁有免費GitHub賬戶的人控制熱門開源項目。
這些漏洞存在於微軟、谷歌、Apache、Cloudflare 和 Python 軟件基金會的代碼庫中。僅對 3 萬個代碼庫進行一次掃描,就發現了 300 條完全可利用的攻擊鏈。.
攻擊者可以利用這些漏洞竊取dent、注入惡意代碼並破壞 軟件供應鏈 。雖然這些問題已被修復,但研究人員警告說,人工智能編碼助手仍會在數百萬個代碼庫中不斷重現這些漏洞。
GitHub Actions 工作流處理運行測試、構建軟件和發佈版本等重要任務,但它們通常被視爲簡單的配置文件,而不是安全關鍵代碼。.
攻擊鏈通常始於外部人員(任何擁有免費 GitHub 帳戶的人)提交拉取請求或在公共倉庫上發表評論。隨後,一個低權限工作流程會被激活,該流程會將外部人員的輸入視爲可信數據。.
之後,輸出會流入第二個以更高權限運行的工作流。這個第二個工作流可能持有云提供商的身份驗證令牌、軟件包註冊表dent或簽名密鑰。此時,攻擊者可以竊取永不過期的令牌,或者永久性地破壞代碼庫。.
安全研究人員表示,這些流程中的每一步單獨來看都能通過安全審計。只有當有人 trac不受信任的數據在整個工作流程交接過程中的路徑時,漏洞纔會顯現出來。.
哪些大型公司受到了此次漏洞的影響?
Novee 發現並報告了全球一些最大科技組織中已確認的漏洞。.
例如,微軟的 Azure Sentinel 中包含一條拉取請求評論,該評論可能觸發攻擊者在微軟的持續集成 (CI) 基礎架構上執行代碼,並竊取一個永不過期的 GitHub 應用密鑰。該密鑰將授予攻擊者對微軟分發給客戶 Sentinel 工作區的安全檢測內容的持久寫入權限。.
Google 的 AI Agent Development Kit 代碼庫(在 GitHub 上擁有超過 9200 個 star)存在一個漏洞,攻擊者只需提交一個 pull request 即可獲得相關 Google Cloud 項目的最高權限級別(角色/所有者)。.
研究人員在 Apache Doris 分析數據庫中發現了兩條零點擊攻擊路徑。一條路徑允許在任何拉取請求上發表評論來竊取硬編碼的 CIdent,而另一條路徑則允許通過派生的拉取請求竊取具有對代碼、包和頁面完全寫入權限的令牌。.
Cloudflare 的 Workers SDK 基於 Wrangler CLI 工具鏈構建,存在漏洞,可通過精心構造的分支名稱觸發任意命令執行。.
Python 軟件基金會的 Black 代碼格式化程序下載量超過 1.3 億次,但它存在一個缺陷,任何拉取請求都可能竊取該項目的自動化機器人令牌,然後該令牌可以批准進一步的拉取請求。.
Novee 向 Dark Reading 確認,在應用補丁之前,這些工作流程模式均未被利用。.
Meged 建議首席信息安全官 (CISO) 將 CI/CD 工作流文件視爲 安全關鍵代碼。
如果你正在閱讀這篇文章,你已經領先一步了。 訂閱我們的新聞簡報,繼續保持領先優勢。







