PyTorch مشین لرننگ فریم ورک کی ترقی میں استعمال ہونے والے بنیادی ڈھانچے پر حملے کی تفصیلات سامنے آئیں، جس نے GitHub اور AWS میں پروجیکٹ ریلیز کے ساتھ ذخیرہ میں من مانی ڈیٹا رکھنے کے لیے کافی رسائی کیز کو نکالنا ممکن بنایا، ساتھ ہی متبادل کوڈ کو بھی۔ ریپوزٹری کی مرکزی شاخ میں اور انحصار کے ذریعے بیک ڈور شامل کریں۔ PyTorch ریلیز سپوفنگ کو گوگل، میٹا، بوئنگ اور لاک ہیڈ مارٹن جیسی بڑی کمپنیوں پر حملہ کرنے کے لیے استعمال کیا جا سکتا ہے جو اپنے پراجیکٹس میں PyTorch کا استعمال کرتی ہیں۔ بگ باؤنٹی پروگرام کے حصے کے طور پر، میٹا نے محققین کو مسئلہ کے بارے میں معلومات کے لیے $16250 ادا کیا۔
حملے کا نچوڑ آپ کے کوڈ کو مسلسل انٹیگریشن سرورز پر چلانے کی صلاحیت ہے جو ریپوزٹری میں بھیجی گئی نئی تبدیلیوں کو جانچنے کے لیے دوبارہ تعمیرات اور ملازمتیں چلاتے ہیں۔ مسئلہ ان منصوبوں کو متاثر کرتا ہے جو GitHub ایکشنز کے ساتھ اپنے بیرونی "سیلف ہوسٹڈ رنر" ہینڈلرز کا استعمال کرتے ہیں۔ روایتی GitHub ایکشنز کے برعکس، سیلف ہوسٹڈ ہینڈلرز GitHub انفراسٹرکچر پر نہیں چلتے بلکہ ان کے اپنے سرورز پر یا ڈویلپر کے زیر انتظام ورچوئل مشینوں میں چلتے ہیں۔
آپ کے سرورز پر اسمبلی کے کاموں کو انجام دینے سے آپ کو کوڈ کے لانچ کو منظم کرنے کی اجازت دیتا ہے جو کسی انٹرپرائز کے اندرونی نیٹ ورک کو اسکین کر سکتا ہے، مقامی فائل سسٹم کو انکرپشن کیز اور رسائی ٹوکنز کے لیے تلاش کر سکتا ہے، اور بیرونی اسٹوریج یا کلاؤڈ سروسز تک رسائی کے لیے پیرامیٹرز کے ساتھ ماحولیاتی متغیرات کا تجزیہ کر سکتا ہے۔ اسمبلی ماحول کی مناسب تنہائی کی عدم موجودگی میں، پایا جانے والا خفیہ ڈیٹا باہر کے حملہ آوروں کو بھیجا جا سکتا ہے، مثال کے طور پر، بیرونی APIs تک رسائی کے ذریعے۔ اس بات کا تعین کرنے کے لیے کہ آیا پروجیکٹس سیلف ہوسٹڈ رنر استعمال کر رہے ہیں، گیٹو ٹول کٹ کو عوامی طور پر دستیاب ورک فلو فائلوں اور CI جاب لانچ لاگز کا تجزیہ کرنے کے لیے استعمال کیا جا سکتا ہے۔
PyTorch اور بہت سے دوسرے پروجیکٹس میں جو Self-Hosted Runner کا استعمال کرتے ہیں، صرف ان ڈویلپرز کو جن کی تبدیلیوں کا پہلے ہم مرتبہ جائزہ لیا گیا ہے اور پروجیکٹ کے کوڈ بیس میں شامل کیے گئے ہیں انہیں تعمیراتی جابز چلانے کی اجازت ہے۔ ریپوزٹری میں ڈیفالٹ سیٹنگز کا استعمال کرتے وقت "مطابقت کنندہ" کا درجہ رکھنے سے پل کی درخواستیں بھیجتے وقت GitHub ایکشنز ہینڈلرز کو لانچ کرنا ممکن ہو جاتا ہے اور اس کے مطابق، اپنے کوڈ کو کسی بھی GitHub ایکشن رنر ماحول میں لاگو کرنا جو ریپوزٹری یا اس پراجیکٹ کی نگرانی کرنے والی تنظیم سے وابستہ ہے۔
"مطالعہ کنندہ" کی حیثیت کا لنک نظر انداز کرنا آسان نکلا - یہ کافی ہے کہ پہلے ایک معمولی تبدیلی جمع کروائیں اور اسے کوڈ بیس میں قبول کیے جانے کا انتظار کریں، جس کے بعد ڈویلپر کو خود بخود ایک فعال شریک کا درجہ مل گیا، جن کی پل کی درخواستوں کو CI انفراسٹرکچر میں الگ تصدیق کے بغیر جانچنے کی اجازت ہے۔ فعال ڈویلپر کی حیثیت حاصل کرنے کے لیے، تجربے میں دستاویزات میں ٹائپ کی غلطیوں کو درست کرنے کے لیے معمولی کاسمیٹک تبدیلیاں شامل تھیں۔ PyTorch ریلیز کے ذخیرے اور اسٹوریج تک رسائی حاصل کرنے کے لیے، حملے نے "سیلف ہوسٹڈ رنر" میں کوڈ پر عمل کرتے ہوئے GitHub ٹوکن کو روکا جو تعمیراتی عمل سے ذخیرہ کرنے کے لیے استعمال کیا جاتا ہے، نیز تعمیراتی نتائج کو بچانے کے لیے استعمال ہونے والی AWS کیز .
یہ مسئلہ PyTorch کے لیے مخصوص نہیں ہے اور بہت سے دوسرے بڑے پروجیکٹس کو متاثر کرتا ہے جو GitHub ایکشنز میں "Self-Hosted Runner" کے لیے ڈیفالٹ سیٹنگز استعمال کرتے ہیں۔ مثال کے طور پر، اسی طرح کے حملوں کے نفاذ کا تذکرہ کچھ بڑے کرپٹو کرنسی والیٹس میں بیک ڈور انسٹال کرنے اور بلین ڈالر کیپٹلائزیشن والے بلاک چین پروجیکٹس، مائیکروسافٹ ڈیپ اسپیڈ اور ٹینسر فلو کی ریلیز میں تبدیلیاں کرنے، CloudFlare ایپلی کیشنز میں سے کسی ایک پر سمجھوتہ کرنے، اور اس پر عمل درآمد کرنے کا ذکر کیا گیا تھا۔ مائیکروسافٹ نیٹ ورک پر کمپیوٹر پر کوڈ۔ ان واقعات کی تفصیلات ابھی تک سامنے نہیں آئی ہیں۔ موجودہ بگ باؤنٹی پروگراموں کے تحت، محققین نے کئی لاکھ ڈالر کے انعامات کے لیے 20 سے زیادہ درخواستیں جمع کرائی ہیں۔
ماخذ: opennet.ru