Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
DevOps.com · 52M SIDEN · sikkerhet

Cordyceps-sårbarhet i CI/CD-pipelines rammer Microsoft, Google og Cloudflare

SYNOPSIS_GENERERT

Sikkerhetsselskapet Novee avdekket Cordyceps, en angrepskjede der en gratis GitHub-konto kan forfalske godkjenninger og stjele legitimasjon i CI/CD-pipelines hos store selskaper.

Av 30 000 «høyimpakt»-repoer som sikkerhetsselskapet Novee skannet, ble 654 flagget i én enkelt skanning og over 300 bekreftet som fullt utnyttbare. Sårbarheten, som Novee kaller Cordyceps etter soppen som kaprer vertene sine, rammer CI/CD-arbeidsflyter hos blant andre Microsoft, Google, Python, Apache og Cloudflare.

Angrepet starter når noen åpner en pull request eller legger igjen en kommentar. Arbeidsflyten behandler inndataen som om den kom fra en vedlikeholder, og kjører den med vedlikeholderens rettigheter. Novee fant blant annet et angrep mot Microsofts Azure Sentinel der en kommentar på en pull request startet angriperkode og stjal en GitHub App-nøkkel uten utløpsdato.

Koblingen til KI er direkte: autonome kodeagenter genererer CI/CD-konfigurasjon raskt og reproduserer de samme usikre mønstrene om og om igjen, skriver Novees Elad Meged. Feilene er flertrinns-kjeder som enkeltfil-skannere ikke fanger, fordi hvert steg for seg ser ut som gyldig YAML. Novee brukte selv KI-agenter til å resonnere seg gjennom kjedene.

Hva bør du gjøre?

  1. Behandle GitHub Actions-arbeidsflyter (.yml) som sikkerhetskritisk kode, ikke som konfigurasjon.
  2. La aldri workflows utløst av pull_request_target eller kommentarer kjøre med skrivetilgang eller hemmeligheter.
  3. Bytt ut ikke-flyktige self-hosted runnere med efemere; Wiz fant at 35 % av virksomheter kjører dem med svakere oppsett.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN