← Voltar ao blog

Falhas de CI/CD do Cordyceps Colocam 300+ Repositórios do GitHub em Risco de Cadeia de Suprimentos

Pesquisadores identificaram uma vulnerabilidade crítica de padrão de fluxo de trabalho CI/CD afetando grandes organizações como Microsoft e Google. A falha do Cordyceps permite que atacantes sequestrem repositórios e comprometam cadeias de suprimentos de código aberto em larga escala.

TL;DR

  • Cordyceps é uma nova classe de fraqueza de fluxo de trabalho de CI/CD descoberta pela Novee Security afetando 300+ repositórios do GitHub
  • A vulnerabilidade permite controle total do atacante sobre repositórios em grandes organizações incluindo Microsoft, Google e Apache
  • A exploração permite ataques à cadeia de suprimentos ao sequestrar fluxos de trabalho de CI/CD para injetar código malicioso em projetos de código aberto
  • A falha representa um risco crítico para pipelines de desenvolvimento de software e consumidores downstream de bibliotecas afetadas

Pesquisadores de cibersegurança da Novee Security divulgaram uma classe crítica de vulnerabilidade em fluxos de trabalho de CI/CD que representa riscos significativos à cadeia de suprimentos. Denominada Cordyceps, este padrão explorável afeta mais de 300 repositórios do GitHub em dezenas de grandes organizações em todo o mundo, incluindo Microsoft, Google e Apache.

A vulnerabilidade permite que atacantes ganhem controle total dos repositórios afetados ao sequestrar fluxos de trabalho de CI/CD. Esta capacidade permite que atores de ameaça injetem código malicioso em projetos de código aberto, potencialmente comprometendo consumidores downstream e amplificando o raio de explosão de ataques em todo o ecossistema de software.

A descoberta destaca a crescente importância de proteger pipelines de CI/CD, pois atacantes cada vez mais visam fluxos de trabalho de automação como pontos de entrada para comprometimento da cadeia de suprimentos.

Visão Geral da Vulnerabilidade Cordyceps

  • Cordyceps representa um padrão explorável crítico em configurações de fluxo de trabalho de CI/CD
  • A falha afeta 300+ repositórios do GitHub em grandes organizações de tecnologia
  • As organizações vulneráveis incluem Microsoft, Google, Apache e outros líderes da indústria
  • A vulnerabilidade permite sequestro completo de repositório e manipulação de fluxo de trabalho

Implicações de Ataques à Cadeia de Suprimentos

  • Atacantes podem injetar código malicioso em projetos de código aberto através de fluxos de trabalho de CI/CD comprometidos
  • Repositórios comprometidos podem distribuir software contaminado para consumidores downstream e dependências
  • O vetor de ataque amplifica o impacto em todo o ecossistema da cadeia de suprimentos de software
  • Organizações que usam bibliotecas de código aberto afetadas enfrentam riscos de comprometimento indireto
  • Ataques à cadeia de suprimentos via CI/CD representam um vetor de ameaça emergente que requer remediação imediata

Recomendações para Equipes de Desenvolvimento

  • Audite configurações de fluxo de trabalho de CI/CD para padrões relacionados ao Cordyceps e configurações incorretas
  • Implemente o princípio do menor privilégio para permissões de fluxo de trabalho e acesso ao repositório
  • Ative regras de proteção de branch e exija revisão de código para alterações de arquivo de fluxo de trabalho
  • Monitore modificações não autorizadas de fluxo de trabalho e atividade de automação suspeita
  • Aplique controles de segurança para evitar que entrada não confiável influencie caminhos de execução de CI/CD

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

Falhas de CI/CD do Cordyceps Colocam 300+ Repositórios do GitHub em Risco de Cadeia de Suprimentos — Agent Breach Blog | Agent Breach