کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی الگوی جدیدی از آسیبپذیریها با نام Cordyceps در گردشکارهای CI/CD خبر دادهاند که میتواند کنترل مخازن کد و زنجیره تأمین نرمافزار را در اختیار مهاجمان قرار دهد.
به گزارش کمیته رکن چهارم، شرکت Novee Security اعلام کرد این ضعف ناشی از پیکربندی نادرست سامانههای CI/CD است که به Pull Requestها مجوزهای بیش از حد اعطا میکند. در چنین شرایطی، یک مهاجم میتواند بدون نیاز به دسترسی ویژه و تنها با یک حساب کاربری رایگان، کد دلخواه خود را اجرا کرده، اعتبارنامهها را سرقت کند و کنترل گردشکارهای توسعه نرمافزار را به دست بگیرد.
بررسی حدود ۳۰ هزار مخزن متنباز پرکاربرد نشان داده است که بیش از ۳۰۰ مخزن بهطور کامل در برابر این الگوی حمله آسیبپذیر هستند. به گفته پژوهشگران، این ضعف میتواند اجرای کد، سرقت توکنها و حملات زنجیره تأمین را امکانپذیر کند.
در جریان این تحقیقات، نمونههایی از بهرهبرداری بالقوه در پروژههای Microsoft Azure Sentinel، Google AI Agent Development Kit، Apache Doris، Cloudflare Workers SDK و پروژه Black متعلق به Python Software Foundation شناسایی شد. در برخی موارد، تنها ثبت یک نظر روی Pull Request یا استفاده از یک نام شاخه دستکاریشده برای اجرای کد مهاجم کافی بوده است.
پس از افشای مسئولانه این یافتهها، شرکتهای Microsoft و Google آسیبپذیری را تأیید کردهاند. همچنین Cloudflare اقدامات امنیتی لازم را اعمال کرده و Apache و Python Software Foundation نیز اصلاحات لازم را منتشر کردهاند.
منبع: The Hacker News
