به گزارش زوم تک، پژوهشگران امنیت سایبری از روشی جدید پرده برداشته اند که به مهاجمان اجازه می دهد نسخه های جعلی از کامیت های تایید شده GitHub ایجاد کنند. این حمله بدون شکستن رمزنگاری یا سرقت کلیدهای خصوصی انجام می شود و می تواند اعتماد توسعه دهندگان به نشان «Verified» را در برخی سناریوها با چالش روبه رو کند.
مشکل از کجا آغاز می شود؟
این حمله از ویژگی موسوم به «Signature Malleability» یا انعطاف پذیری امضای دیجیتال سوءاستفاده می کند. در نتیجه، مهاجم می تواند کامیتی تولید کند که از نظر محتوا و امضای رمزنگاری معتبر باشد، اما هش متفاوتی نسبت به کامیت اصلی داشته باشد. با وجود این تفاوت، گیت هاب همچنان هر دو کامیت را با نشان Verified نمایش می دهد.
چرا این موضوع اهمیت دارد؟
بسیاری از توسعه دهندگان تصور می کنند هر کامیت تایید شده دارای یک شناسه منحصربه فرد و غیرقابل تغییر است. اما این پژوهش نشان می دهد می توان کامیتی با همان محتوا و همان امضای معتبر، اما با هش متفاوت ایجاد کرد. این موضوع می تواند برخی فرآیندهای امنیتی که بر پایه هش کامیت کار می کنند را دچار مشکل کند.
چه خطراتی توسعه دهندگان را تهدید می کند؟
کارشناسان هشدار می دهند این ضعف می تواند در حملات زنجیره تامین نرم افزار مورد سوءاستفاده قرار گیرد. برای مثال، ابزارهایی که تنها بر اساس هش کامیت، کدها را تایید یا مسدود می کنند، ممکن است نتوانند نسخه جعلی را از نسخه اصلی تشخیص دهند.
همچنین فرآیندهایی مانند بازتولید نرم افزار، بررسی یکپارچگی کدها و برخی سامانه های مدیریت وابستگی ها ممکن است تحت تاثیر این حمله قرار بگیرند.
آیا کلیدهای رمزنگاری یا حساب های گیت هاب به خطر افتاده اند؟
خیر. پژوهشگران تاکید می کنند این حمله به معنای شکستن الگوریتم های رمزنگاری، سرقت کلیدهای خصوصی یا نفوذ به حساب GitHub نیست. امضای دیجیتال همچنان معتبر باقی می ماند، اما نحوه پردازش و نمایش آن می تواند امکان ایجاد نسخه های متفاوت از یک کامیت تایید شده را فراهم کند.
گیت هاب چه واکنشی نشان داده است؟
بر اساس گزارش منتشر شده، این موضوع به GitHub اطلاع داده شده است. کارشناسان امنیتی پیشنهاد کرده اند علاوه بر بررسی وضعیت Verified، ابزارهای امنیتی و توسعه دهندگان از مکانیزم های تکمیلی برای اعتبارسنجی کامیت ها استفاده کنند و صرفا به هش یا نشان تایید شده اکتفا نکنند.
توصیه به توسعه دهندگان و سازمان ها
متخصصان امنیت توصیه می کنند سازمان ها هنگام بررسی تغییرات کد، علاوه بر وضعیت تایید امضا، منبع کامیت، تاریخچه مخزن، هویت توسعه دهنده و فرآیندهای بازبینی کد را نیز مدنظر قرار دهند. همچنین ابزارهای امنیت زنجیره تامین باید برای شناسایی کامیت های دارای امضای معتبر اما هش متفاوت به روزرسانی شوند.
این پژوهش بار دیگر نشان می دهد که حتی قابلیت هایی مانند امضای دیجیتال و نشان Verified نیز به تنهایی تضمین کننده امنیت کامل نیستند و برای محافظت از زنجیره تامین نرم افزار باید از چندین لایه دفاعی به صورت همزمان استفاده شود.





نظرات در مورد : آسیب پذیری جدید در گیت هاب امکان جعل کامیت های تایید شده را فراهم می کند