PyTorch mashinani o'rganish tizimini ishlab chiqishda foydalanilgan infratuzilmaga hujum tafsilotlari aniqlandi, bu GitHub va AWS-da loyiha relizlari bilan repozitoriyga o'zboshimchalik bilan ma'lumotlarni joylashtirish, shuningdek kodni almashtirish uchun etarli bo'lgan kirish kalitlarini olish imkonini berdi. omborning asosiy bo'limida va bog'liqliklar orqali orqa eshik qo'shing. PyTorch relizlar uchun firibgarlik Google, Meta, Boeing va Lockheed Martin kabi yirik kompaniyalarga hujum qilish uchun ishlatilishi mumkin, ular o'z loyihalarida PyTorch ishlatadi. Bug Bounty dasturi doirasida Meta tadqiqotchilarga muammo haqida maβlumot olish uchun 16250 dollar toβlagan.
Hujumning mohiyati sizning kodingizni qayta qurish va omborga yuborilgan yangi o'zgarishlarni sinab ko'rish uchun ishlarni bajaradigan uzluksiz integratsiya serverlarida ishga tushirish qobiliyatidir. Muammo GitHub Actions bilan o'zlarining tashqi "Self-Hosted Runner" ishlov beruvchilaridan foydalanadigan loyihalarga ta'sir qiladi. An'anaviy GitHub harakatlaridan farqli o'laroq, o'z-o'zidan joylashtirilgan ishlov beruvchilar GitHub infratuzilmasida emas, balki o'z serverlarida yoki ishlab chiquvchi tomonidan boshqariladigan virtual mashinalarda ishlaydi.
Serverlaringizda yig'ish vazifalarini bajarish sizga korxonaning ichki tarmog'ini skanerlashi mumkin bo'lgan kodni ishga tushirishni tashkil qilish, mahalliy FSda shifrlash kalitlari va kirish tokenlarini qidirish va tashqi xotira yoki bulut xizmatlariga kirish parametrlari bilan atrof-muhit o'zgaruvchilarini tahlil qilish imkonini beradi. Yig'ish muhitining to'g'ri izolyatsiyasi bo'lmasa, topilgan maxfiy ma'lumotlar tajovuzkorlarga tashqaridan yuborilishi mumkin, masalan, tashqi API-larga kirish orqali. Loyihalar tomonidan Self-Hosted Runner-dan foydalanishni aniqlash uchun Gato asboblar to'plamidan hammaga ochiq ish jarayoni fayllari va CI topshiriqlarini ishga tushirish jurnallarini tahlil qilish uchun foydalanish mumkin.
PyTorch va Self-Hosted Runner-dan foydalanadigan boshqa ko'plab loyihalarda faqat o'zgarishlari ilgari ko'rib chiqilgan va loyihaning kodlar bazasiga kiritilgan ishlab chiquvchilarga qurilish ishlarini bajarishga ruxsat beriladi. Repozitariyda standart sozlamalardan foydalanganda "hissa qo'shuvchi" maqomiga ega bo'lish, tortishish so'rovlarini yuborishda GitHub Actions ishlov beruvchilarini ishga tushirish va shunga mos ravishda ombor yoki loyihani nazorat qiluvchi tashkilot bilan bog'langan har qanday GitHub Actions Runner muhitida kodingizni bajarish imkonini beradi.
"Hisob qo'shuvchi" maqomiga havolani chetlab o'tish oson bo'ldi - avval kichik o'zgartirish kiritish va uning kod bazasiga qabul qilinishini kutish kifoya, shundan so'ng ishlab chiquvchi avtomatik ravishda faol ishtirokchi maqomini oldi, tortib olish so'rovlarini CI infratuzilmasida alohida tekshirishsiz sinovdan o'tkazishga ruxsat berilgan. Faol ishlab chiquvchi maqomiga erishish uchun tajriba hujjatlardagi xatolarni tuzatish uchun kichik kosmetik o'zgarishlarni o'z ichiga oldi. PyTorch relizlar ombori va saqlashiga kirish uchun "O'z-o'zidan boshqariladigan yuguruvchi" da kodni bajarish paytida hujum qurish jarayonlaridan omborga kirish uchun ishlatiladigan GitHub tokenini, shuningdek, qurish natijalarini saqlash uchun foydalaniladigan AWS kalitlarini ushlab oldi. .
Muammo PyTorch-ga xos emas va GitHub Actions-da "O'z-o'zidan ishlaydigan yuguruvchi" uchun standart sozlamalardan foydalanadigan ko'plab boshqa yirik loyihalarga ta'sir qiladi. Misol uchun, shunga o'xshash hujumlarni amalga oshirish, ba'zi yirik kriptovalyuta hamyonlarida va milliard dollarlik kapitallashuvga ega bo'lgan blokcheyn loyihalarida backdoor o'rnatish, Microsoft Deepspeed va TensorFlow relizlariga o'zgartirishlar kiritish, CloudFlare ilovalaridan birini buzish, shuningdek, Microsoft tarmog'idagi kompyuterdagi kod. Ushbu hodisalar tafsilotlari hozircha oshkor etilmagan. Mavjud bug bounty dasturlari doirasida tadqiqotchilar bir necha yuz ming dollarlik mukofotlar uchun 20 dan ortiq ariza topshirdilar.
Manba: opennet.ru