Откривени су детаљи напада на инфраструктуру коришћену у развоју ПиТорцх оквира за машинско учење, што је омогућило екстракцију приступних кључева довољних за постављање произвољних података у спремиште са издањима пројекта на ГитХуб и АВС, као и за замену кода у главној грани спремишта и додајте бацкдоор кроз зависности. Превара издавања ПиТорцх-а може се користити за напад на велике компаније као што су Гоогле, Мета, Боеинг и Лоцкхеед Мартин које користе ПиТорцх у својим пројектима. Као део програма Буг Боунти, Мета је платила истраживачима 16250 долара за информације о проблему.
Суштина напада је могућност покретања вашег кода на серверима за континуирану интеграцију који обављају реконструкцију и покрећу послове за тестирање нових промена које се шаљу у спремиште. Проблем утиче на пројекте који користе сопствене екстерне руковаоце „Селф-Хостед Руннер“ са ГитХуб акцијама. За разлику од традиционалних ГитХуб акција, само-хостовани руковаоци не раде на ГитХуб инфраструктури, већ на сопственим серверима или на виртуелним машинама које одржавају програмери.
Извршавање задатака монтаже на вашим серверима омогућава вам да организујете покретање кода који може да скенира интерну мрежу предузећа, претражи локални ФС за кључеве за шифровање и приступне токене и анализира варијабле окружења са параметрима за приступ спољном складишту или услугама у облаку. У недостатку одговарајуће изолације асемблерског окружења, пронађени поверљиви подаци могу се послати нападачима извана, на пример, путем приступа спољним АПИ-јима. Да би се утврдило да пројекти користе Селф-Хостед Руннер, Гато комплет алата се може користити за анализу јавно доступних датотека тока посла и евиденције покретања ЦИ задатака.
У ПиТорцх-у и многим другим пројектима који користе Селф-Хостед Руннер, само програмери чије су измене претходно рецензиране и укључене у базу кода пројекта могу да покрећу послове изградње. Поседовање статуса „сарадника“ када се користе подразумеване поставке у спремишту омогућава покретање ГитХуб Ацтионс руковалаца приликом слања захтева за повлачење и, сходно томе, извршавање вашег кода у било ком ГитХуб Ацтионс Руннер окружењу повезаном са спремиштем или организацијом која надгледа пројекат.
Показало се да је везу са статусом „сарадника“ лако заобићи - довољно је прво поднети мању измену и сачекати да буде прихваћена у базу кода, након чега програмер аутоматски добија статус активног учесника, чији захтеви за повлачење могу бити тестирани у ЦИ инфраструктури без посебне провере. Да би се постигао статус активног програмера, експеримент је укључио мање козметичке измене ради исправљања грешака у куцању у документацији. Да би се добио приступ спремишту и складиштењу ПиТорцх издања, напад је током извршавања кода у „Селф-Хостед Руннер-у“ пресрео ГитХуб токен који се користи за приступ спремишту из процеса изградње, као и АВС кључеве који се користе за чување резултата изградње .
Проблем није специфичан за ПиТорцх и утиче на многе друге велике пројекте који користе подразумевана подешавања за „Селф-Хостед Руннер“ у ГитХуб акцијама. На пример, поменута је имплементација сличних напада да се инсталира бацкдоор у неке велике новчанике криптовалута и блокчејн пројекти са капитализацијом од милијарду долара, да се унесу измене у издања Мицрософт Деепспеед и ТенсорФлов, да се компромитује једна од ЦлоудФларе апликација, као и да се изврше код на рачунару на Мицрософт мрежи. Детаљи ових инцидената још нису саопштени. У оквиру постојећих програма награда за грешке, истраживачи су поднели више од 20 апликација за награде у вредности од неколико стотина хиљада долара.
Извор: опеннет.ру