گٹ ہب ایکشنز میں آرٹفیکٹ پوائزننگ سافٹ ویئر پائپ لائنز کے ذریعے میلویئر درآمد کرتی ہے۔

ٹائم سٹیمپ: 1 دسمبر 2022 شام 4:05 بجے
ماخذ نوڈ: 1769941

GitHub پر اوپن سورس ریپوزٹری میں تبدیلیاں جمع کروانے والا حملہ آور ڈاون اسٹریم سافٹ ویئر پروجیکٹس کا سبب بن سکتا ہے جس میں نقصان دہ کوڈ کے ساتھ اپ ڈیٹس مرتب کرنے کے لیے جزو کا تازہ ترین ورژن شامل ہوتا ہے۔

یہ سافٹ ویئر سپلائی چین سیکیورٹی فرم لیگٹ سیکیورٹی کے مطابق ہے، جس نے 1 دسمبر کو شائع ہونے والی ایک ایڈوائزری میں کہا تھا کہ یہ "آرٹیفیکٹ پوائزننگ" کمزوری سافٹ ویئر پروجیکٹس کو متاثر کر سکتی ہے جو GitHub ایکشنز کا استعمال کرتے ہیں - ترقیاتی پائپ لائنوں کو خودکار بنانے کے لیے ایک خدمت - جب تعمیر کے عمل کو متحرک کرتے ہیں۔ سافٹ ویئر انحصار میں تبدیلی کا پتہ چلا ہے۔ 

کمزوری نظریاتی نہیں ہے: لیگٹ سیکیورٹی نے اس پروجیکٹ پر حملہ کیا جو زنگ کا انتظام کرتا ہے، جس کی وجہ سے پراجیکٹ کو مقبول GCC سافٹ ویئر لائبریری کے ایک حسب ضرورت - اور بدنیتی پر مبنی - ورژن کا استعمال کرتے ہوئے دوبارہ مرتب کیا گیا، کمپنی نے ایڈوائزری میں کہا۔

لیگٹ سیکیورٹی کے چیف ٹکنالوجی آفیسر لیاو کیسپی کا کہنا ہے کہ مسئلہ ممکنہ طور پر اوپن سورس پروجیکٹس کی ایک بڑی تعداد کو متاثر کرتا ہے کیونکہ دیکھ بھال کرنے والے عام طور پر تعاون شدہ کوڈ پر ٹیسٹ چلائیں گے اس سے پہلے کہ وہ خود کوڈ کا اصل میں تجزیہ کریں۔

"یہ آج ایک عام نمونہ ہے،" وہ کہتے ہیں۔ "آج بہت سارے اوپن سورس پروجیکٹس، تبدیلی کی درخواست پر، وہ درخواست کی توثیق کرنے کے لیے بہت سارے ٹیسٹ چلاتے ہیں کیونکہ دیکھ بھال کرنے والا نہیں چاہتا کہ پہلے کوڈ کا جائزہ لے۔ اس کے بجائے، یہ خود بخود ٹیسٹ چلاتا ہے۔

حملہ GitHub ایکشنز کے ذریعے خودکار تعمیراتی عمل کا فائدہ اٹھاتا ہے۔ Legit Security نے کہا کہ Rust پروگرامنگ لینگویج کے معاملے میں، کمزور پیٹرن سے حملہ آور کو مراعات یافتہ طریقے سے کوڈ کو ڈیولپمنٹ پائپ لائن کے حصے کے طور پر چلانے، مخزن کے راز چرانے اور ممکنہ طور پر کوڈ کے ساتھ چھیڑ چھاڑ کرنے کی اجازت مل سکتی تھی۔

"سادہ الفاظ میں: ایک کمزور ورک فلو میں، کوئی بھی GitHub صارف ایک کانٹا بنا سکتا ہے جو ایک نمونہ بناتا ہے،" کمپنی نے اپنی ایڈوائزری میں کہا. "پھر اس نمونے کو اصل ذخیرہ سازی کے عمل میں داخل کریں اور اس کے آؤٹ پٹ میں ترمیم کریں۔ یہ سافٹ ویئر سپلائی چین اٹیک کی ایک اور شکل ہے، جہاں حملہ آور کی طرف سے بلڈ آؤٹ پٹ میں ترمیم کی جاتی ہے۔

کمزوری اسی طرح کے حملے کو قابل بناتی ہے۔ میلویئر داخل کرنے کا حملہ جس نے CodeCov کو نشانہ بنایا اور، اس کمپنی کے سافٹ ویئر کے ذریعے، اس کے بہاو والے صارفین۔

"[T]کراس ورک فلو آرٹفیکٹس کمیونیکیشن کے لیے مقامی GitHub کے نفاذ کی کمی نے بہت سے پروجیکٹس اور GitHub ایکشنز کمیونٹی کو کراس ورک فلو کمیونیکیشن کے لیے غیر محفوظ حل تیار کرنے کی طرف راغب کیا اور اس خطرے کو بہت زیادہ مروجہ بنا دیا،" لیگٹ سیکیورٹی نے ایڈوائزری میں کہا۔

لیگٹ سیکیورٹی نے بتایا کہ گٹ ہب نے اس مسئلے کی تصدیق کی اور معلومات کے لیے ایک انعام ادا کیا، جبکہ رسٹ نے اپنی کمزور پائپ لائن کو ٹھیک کیا۔

ماخذ: قانونی سیکیورٹی

سافٹ ویئر سپلائی چین کو سیکیورٹی کی ضرورت ہے۔

کمزوری سافٹ ویئر سپلائی چینز کو متاثر کرنے کے لیے سیکیورٹی کا تازہ ترین مسئلہ ہے۔ صنعت اور سرکاری ایجنسیوں نے ایک سروس کے طور پر فراہم کردہ اوپن سورس سافٹ ویئر اور سافٹ ویئر کی سیکورٹی کو بڑھانے کی کوشش کی ہے۔

مئی 2021 میں، مثال کے طور پر، بائیڈن انتظامیہ نے قوم کی سائبرسیکیوریٹی کو بہتر بنانے کے بارے میں اپنا ایگزیکٹو آرڈر جاری کیا، یہ ایک وفاقی قاعدہ ہے جو دیگر تقاضوں کے ساتھ ساتھ یہ حکم دیتا ہے کہ حکومت کسی بھی سافٹ ویئر کی خریداری کے لیے بنیادی حفاظتی معیارات کی ضرورت ہوتی ہے۔. نجی صنعت کی طرف، گوگل اور مائیکروسافٹ ہے اربوں ڈالر دینے کا وعدہ کیا۔ اوپن سورس ایکو سسٹم میں سیکورٹی کو بڑھانے کے لیے، جو کہ کوڈ فراہم کرتا ہے۔ اوسط ایپلیکیشن کے کوڈ بیس کے تین چوتھائی سے زیادہ پر مشتمل ہے۔.

منطقی، لیکن کمزور

سیکیورٹی کا مسئلہ منطقی مسائل کے نام سے جانا جاتا مسائل کی ایک مشکل سے تلاش کرنے والے طبقے سے تعلق رکھتا ہے، جس میں اجازتوں کے مسائل، پائپ لائن میں فورکڈ ریپوزٹریوں کے داخل ہونے کی صلاحیت، اور فورکڈ اور بیس ریپوزٹری کے درمیان فرق کی کمی شامل ہے۔

چونکہ سافٹ ویئر پروجیکٹس اکثر کوڈ کی گذارشات کو دیکھ بھال کرنے والوں کو بھیجنے سے پہلے چیک کرنے کے لیے خودکار اسکرپٹ کا استعمال کرتے ہیں، اس لیے پل کی درخواستوں کو آٹومیشن کے ذریعے چلایا جائے گا اس سے پہلے کہ کوئی بھی انسان ان کو بدنیتی پر مبنی کوڈ کی جانچ کرے۔ اگرچہ آٹومیشن وقت کی بچت کرتی ہے، لیکن اسے حملہ آوروں کے لیے پائپ لائن میں بدنیتی پر مبنی کوڈ داخل کرنے کا طریقہ بھی سمجھا جانا چاہیے۔

کیسپی کا کہنا ہے کہ "جب آپ اوپن سورس ڈویلپمنٹ کر رہے ہوتے ہیں، تو مسئلہ بڑا ہوتا ہے، کیونکہ آپ دنیا میں کسی سے بھی شراکت قبول کر رہے ہوتے ہیں۔" "آپ ایسی چیزوں کو انجام دے رہے ہیں جن پر آپ اعتماد نہیں کرسکتے ہیں۔"

GitHub نے اس مسئلے کو تسلیم کیا اور باہر کے ساتھیوں کی جمع آوریوں کو ایکشن پائپ لائن میں خود بخود داخل ہونے سے خارج کرنے کے طریقوں کو بڑھا دیا۔ کمپنی اس کے GetArtifact اور ListArtifacts APIs کو اپ ڈیٹ کیا۔ مزید معلومات فراہم کرنے کے مقصد کے ساتھ اس بات کا تعین کرنے میں مدد ملتی ہے کہ آیا کسی نمونے پر بھروسہ کیا جا سکتا ہے۔

کیسپی کا کہنا ہے کہ "کوئی بھی جو کچھ بھی کرتا ہے جیسا کہ رسٹ پروجیکٹ نے کیا تھا - کسی تیسرے فریق کے ان پٹ پر بھروسہ کرتے ہوئے - پھر بھی وہ کمزور ہیں۔" کیسپی کہتے ہیں۔ "یہ ایک منطقی مسئلہ ہے۔ GitHub نے صرف ایک محفوظ اسکرپٹ لکھنا آسان بنا دیا۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا