❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Vulnerabilidad crítica de GitHub expone más de 4000 repositorios

Una nueva vulnerabilidad encontrada en GitHub ha expuesto miles repositorios a un riesgo de ataques de repojacking (repository hijacking).

La falla “podría permitir a un atacante el explotar una race condition en la creación del repositorio de GitHub y en el cambio de nombre de usuario” comentó el investigador de seguridad de Checkmarx, Elad Rapoport, en un reporte compartido con The Hacker News. 

“La explotación exitosa de esta vulnerabilidad afecta a la comunidad open-source al permitir el hijacking de más de 4,000 paquetes de código en lenguajes como Go, PHP y swift, así como las acciones de GitHub”.

Tras la divulgación el 1 de marzo de 2023, la plataforma de hosting propiedad de Microsoft abordó el problema a partir de septiembre de 2023.

Repojacking, abreviatura de reposity hijacking, es una técnica donde un actor puede sobrepasar el mecanismo de seguridad llamado “popular repository namespace retirement” y, en última instancia, tomar control de un repositorio.

Lo que la medida de protección hace es evitar que otros usuarios creen repositorios con el mismo nombre que un repositorios con más de 100 clones en el momento que ccambie el nombre de su cuenta de usuario. En otras palabras, la combinación del nombre de usuarios y el nombre del repositorio se considera “retirada”.

En caso de que esta medida de seguridad sea fácilmente eludida, podría permitir a los actores de amenazas crear nuevas cuentras con el mismo nombre de usuario y cargar repositorios maliciosos, lo que podría llevar a ataques en la cadena de suministro de software.

El nuevo método descrito por Checkmarx se aprovecha de una posible condición de carrera entra la creación de un repositorio y el cambio de nombre de usuario para lograr el “Repojacking”. Lo que implicaría los siguientes casos:

  • La víctima es dueña del nombre “victim_user/repo”.
  • La víctima cambia el nombre de  “victim_use”’ a “renamed_user”.
  • El repositorio “victim_user/repo” se desactiva.
  • el atacante con el nombre “attacker_user” crea simultáneamente un repositorio llamado “repo” y cambia su nombre de usuario de “attacker_user” a “victim_user”.

El último paso se logra mediante una solicitud API para crear un nuevo repositorio e interceptar la solicitud para el cambio de nombre de usuario. La vulnerabilidad fue encontrada casi nueve meses después de que GitHub parchara una falla similar.

“El descubrimiento de esta vulnerabilidad en la creación de un repositorio de GitHub y el cambio de nombre resalta el riesgo persistente asociado con el mecanismo de ‘retiro de espacio de nombres de repositorio popular’” dijo Rapoport.

Fuente:
The Hacker News. (s. f.). Critical GitHub vulnerability exposes 4,000+ repositories to repojacking attack. https://thehackernews.com/2023/09/critical-github-vulnerability-exposes.html

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información