PyTorch maşın öyrənmə çərçivəsinin inkişafında istifadə olunan infrastruktura hücumun təfərrüatları aşkar edildi ki, bu da GitHub və AWS-də layihə buraxılışları ilə ixtiyari məlumatları depoya yerləşdirmək üçün kifayət qədər giriş açarlarını çıxarmağa, həmçinin kodu əvəz etməyə imkan verdi. repozitoriyanın əsas filialında və asılılıqlar vasitəsilə arxa qapı əlavə edin. PyTorch buraxılış saxtakarlığı Google, Meta, Boeing və Lockheed Martin kimi layihələrdə PyTorch istifadə edən böyük şirkətlərə hücum etmək üçün istifadə edilə bilər. Bug Bounty proqramının bir hissəsi olaraq Meta problem haqqında məlumat üçün tədqiqatçılara 16250 XNUMX dollar ödəyib.
Hücumun mahiyyəti, kodunuzu repozitoriyaya göndərilən yeni dəyişiklikləri sınaqdan keçirmək üçün yenidən qurma və işləri yerinə yetirən davamlı inteqrasiya serverlərində işlətmək imkanıdır. Məsələ GitHub Fəaliyyətləri ilə öz xarici "Özündə Hosted Runner" işləyicilərindən istifadə edən layihələrə təsir edir. Ənənəvi GitHub Fəaliyyətlərindən fərqli olaraq, Self-Hosted işləyiciləri GitHub infrastrukturunda deyil, öz serverlərində və ya developer tərəfindən idarə olunan virtual maşınlarda işləyir.
Serverlərinizdə montaj tapşırıqlarının yerinə yetirilməsi sizə müəssisənin daxili şəbəkəsini skan edə bilən kodun işə salınmasını təşkil etməyə, yerli FS-də şifrələmə açarları və giriş nişanlarını axtarmağa və xarici yaddaşa və ya bulud xidmətlərinə daxil olmaq üçün parametrlərlə ətraf mühitin dəyişənlərini təhlil etməyə imkan verir. Montaj mühitinin lazımi izolyasiyası olmadıqda, aşkar edilmiş məxfi məlumatlar xaricdən təcavüzkarlara, məsələn, xarici API-lərə giriş vasitəsilə göndərilə bilər. Layihələr tərəfindən Self-Hosted Runner istifadəsini müəyyən etmək üçün Gato alət dəsti ictimaiyyət üçün əlçatan olan iş axını fayllarını və CI tapşırığının işə salınma qeydlərini təhlil etmək üçün istifadə edilə bilər.
PyTorch və Self-Hosted Runner-dan istifadə edən bir çox digər layihələrdə yalnız dəyişiklikləri əvvəllər nəzərdən keçirilmiş və layihənin kod bazasına daxil edilmiş tərtibatçılara tikinti işlərini icra etməyə icazə verilir. Repozitoriyada standart parametrlərdən istifadə edərkən "töhfəçi" statusuna malik olmaq, çəkmə sorğuları göndərərkən GitHub Actions işləyicilərini işə salmağa və müvafiq olaraq, anbar və ya layihəyə nəzarət edən təşkilatla əlaqəli istənilən GitHub Actions Runner mühitində kodunuzu icra etməyə imkan verir.
"Təqdimatçı" statusuna keçidi keçmək asan oldu - əvvəlcə kiçik bir dəyişiklik təqdim etmək və kod bazasına qəbul edilməsini gözləmək kifayətdir, bundan sonra tərtibatçı avtomatik olaraq aktiv iştirakçı statusunu aldı, çəkmə sorğularının ayrıca yoxlama olmadan CI infrastrukturunda sınaqdan keçirilməsinə icazə verilən. Aktiv tərtibatçı statusuna nail olmaq üçün eksperiment sənədlərdə yazı səhvlərini düzəltmək üçün kiçik kosmetik dəyişiklikləri əhatə etdi. PyTorch buraxılışlarının anbarına və saxlanmasına giriş əldə etmək üçün Self-Hosted Runner-da kodu icra edərkən hücum, quraşdırma proseslərindən repozitoriyaya daxil olmaq üçün istifadə edilən GitHub tokenini, həmçinin quraşdırma nəticələrini saxlamaq üçün istifadə olunan AWS açarlarını ələ keçirdi.
Məsələ PyTorch-a xas deyil və GitHub Actions-da "Özündə Hosted Runner" üçün standart parametrlərdən istifadə edən bir çox digər böyük layihələrə təsir edir. Məsələn, bəzi böyük kriptovalyuta pul kisələrində və milyard dollarlıq kapitallaşmaya malik blokçeyn layihələrində arxa qapı quraşdırmaq, Microsoft Deepspeed və TensorFlow buraxılışlarında dəyişikliklər etmək, CloudFlare proqramlarından birini kompromis etmək, həmçinin icra etmək üçün oxşar hücumların həyata keçirilməsi qeyd edilib. Microsoft şəbəkəsindəki kompüterdə kod. Bu hadisələrin təfərrüatları hələlik açıqlanmayıb. Mövcud səhv mükafat proqramları çərçivəsində tədqiqatçılar bir neçə yüz min dollar dəyərində mükafatlar üçün 20-dən çox ərizə təqdim ediblər.
Mənbə: opennet.ru