Tecnologia

Il bug repojacking di GitHub consentiva di acquisire il controllo dei repository di altri utenti

Il bug di repojacking di GitHub consentiva di acquisire il controllo dei repository di altri utenti

Il servizio di hosting di repository basato su cloud GitHub ha risolto un bug di sicurezza di elevata gravità che poteva essere sfruttato per creare repository dannosi e montare attacchi alla catena di approvvigionamento.

La tecnica RepoJacking , divulgata da Checkmarx, comporta un bypass di un meccanismo di protezione chiamato popular repository namespace pension, che mira a impedire agli sviluppatori di estrarre repository non sicuri con lo stesso nome.

La questione è stata affrontata dalla controllata di proprietà di Microsoft il 19 settembre 2022 a seguito della divulgazione responsabile.

RepoJacking si verifica quando un creatore di un repository sceglie di modificare il nome utente, consentendo potenzialmente a un attore di minacce di rivendicare il vecchio nome utente e pubblicare un repository canaglia con lo stesso nome nel tentativo di indurre gli utenti a scaricarlo.

Bug di repojacking di GitHub

Mentre la contromisura di Microsoft “ritira lo spazio dei nomi di qualsiasi progetto open source che ha avuto più di 100 cloni nella settimana che ha portato alla ridenominazione o all’eliminazione dell’account del proprietario”, Checkmarx ha scoperto che ciò può essere aggirato attraverso la funzione “trasferimento del repository”.

Il modo in cui funziona è il seguente:

Un attore di minacce crea un repository con lo stesso nome del repository ritirato (ad esempio, “repo”) di proprietà di un utente denominato “vittima” ma con un nome utente diverso (ad esempio, “helper”)
“helper” trasferisce la proprietà di “repo” a un secondo account con nome utente “attacker”
“attaccante” rinomina il nome utente dell’account in “vittima”
Lo spazio dei nomi “victim/repo” è ora sotto il controllo dell’avversario.
In altre parole, l’attacco dipende dalla stranezza che GitHub considera ritirato solo lo spazio dei nomi, ovvero la combinazione di nome utente e nome del repository, consentendo di riutilizzare il nome del repository insieme a un nome utente arbitrario.

Bug di repojacking di GitHub
Il Bug avrebbe potuto effettivamente consentire agli aggressori di spingere repository avvelenati, mettendo i nomi utente rinominati a rischio di essere vittime di attacchi alla catena di approvvigionamento.

“Se non esplicitamente curati, tutti i nomi utente rinominati su GitHub erano vulnerabili a questo difetto, inclusi oltre 10.000 pacchetti sui gestori di pacchetti Go, Swift e Packagist”, ha affermato il ricercatore di Checkmarx Aviad Gershon.

Nuovo logo PlayBlog formato bianco

Apple        Android        Tecnologia        Netflix        Prime Video        Offerte

Seguici su Telegram       Canale Netflix     Offerte Amazon     Prime Video

Scarica la nostra App per iOS e Android. Con tutte le news aggiornate destinata a tutti gli appassionati di Tecnologia, Apple e tutte le novità in arrivo su Netflix, Disney+, Paramount+ e Prime Video.

Ora puoi ricevere tutti i contenuti di PlayBlog.it direttamente nel tuo telefono!

Scarica la nostra App

POST CORRELATI

Dove trovare Power Armor in Fallout 76

MacBook Pro: Apple emette una correzione software

Arriva in prima tv la seconda stagione di LEGO MASTERS AUSTRALIA

playblog.it

Lascia un commento