Falhas de CI/CD do Cordyceps Colocam 300+ Repositórios do GitHub em Risco de Cadeia de Suprimentos
Pesquisadores identificaram uma vulnerabilidade crítica de padrão de fluxo de trabalho CI/CD afetando grandes organizações como Microsoft e Google. A falha do Cordyceps permite que atacantes sequestrem repositórios e comprometam cadeias de suprimentos de código aberto em larga escala.
TL;DR
- Cordyceps é uma nova classe de fraqueza de fluxo de trabalho de CI/CD descoberta pela Novee Security afetando 300+ repositórios do GitHub
- A vulnerabilidade permite controle total do atacante sobre repositórios em grandes organizações incluindo Microsoft, Google e Apache
- A exploração permite ataques à cadeia de suprimentos ao sequestrar fluxos de trabalho de CI/CD para injetar código malicioso em projetos de código aberto
- A falha representa um risco crítico para pipelines de desenvolvimento de software e consumidores downstream de bibliotecas afetadas
Pesquisadores de cibersegurança da Novee Security divulgaram uma classe crítica de vulnerabilidade em fluxos de trabalho de CI/CD que representa riscos significativos à cadeia de suprimentos. Denominada Cordyceps, este padrão explorável afeta mais de 300 repositórios do GitHub em dezenas de grandes organizações em todo o mundo, incluindo Microsoft, Google e Apache.
A vulnerabilidade permite que atacantes ganhem controle total dos repositórios afetados ao sequestrar fluxos de trabalho de CI/CD. Esta capacidade permite que atores de ameaça injetem código malicioso em projetos de código aberto, potencialmente comprometendo consumidores downstream e amplificando o raio de explosão de ataques em todo o ecossistema de software.
A descoberta destaca a crescente importância de proteger pipelines de CI/CD, pois atacantes cada vez mais visam fluxos de trabalho de automação como pontos de entrada para comprometimento da cadeia de suprimentos.
Visão Geral da Vulnerabilidade Cordyceps
- Cordyceps representa um padrão explorável crítico em configurações de fluxo de trabalho de CI/CD
- A falha afeta 300+ repositórios do GitHub em grandes organizações de tecnologia
- As organizações vulneráveis incluem Microsoft, Google, Apache e outros líderes da indústria
- A vulnerabilidade permite sequestro completo de repositório e manipulação de fluxo de trabalho
Implicações de Ataques à Cadeia de Suprimentos
- Atacantes podem injetar código malicioso em projetos de código aberto através de fluxos de trabalho de CI/CD comprometidos
- Repositórios comprometidos podem distribuir software contaminado para consumidores downstream e dependências
- O vetor de ataque amplifica o impacto em todo o ecossistema da cadeia de suprimentos de software
- Organizações que usam bibliotecas de código aberto afetadas enfrentam riscos de comprometimento indireto
- Ataques à cadeia de suprimentos via CI/CD representam um vetor de ameaça emergente que requer remediação imediata
Recomendações para Equipes de Desenvolvimento
- Audite configurações de fluxo de trabalho de CI/CD para padrões relacionados ao Cordyceps e configurações incorretas
- Implemente o princípio do menor privilégio para permissões de fluxo de trabalho e acesso ao repositório
- Ative regras de proteção de branch e exija revisão de código para alterações de arquivo de fluxo de trabalho
- Monitore modificações não autorizadas de fluxo de trabalho e atividade de automação suspeita
- Aplique controles de segurança para evitar que entrada não confiável influencie caminhos de execução de CI/CD
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.