ماسح Trivy Security Scanner يتعرض لهجوم سلسلة التوريد الكبرى

أصبح الماسح التهديد

Trivy هي أداة أمان. تستخدمها المنظمات على وجه التحديد لحماية خطوط أنابيب تطوير البرامج الخاصة بها من خلال مسح صور الحاويات ومستودعات التعليمات البرمجية بحثاً عن الثغرات المعروفة والأسرار المشفرة. مع 33,200 نجمة على GitHub، فهي من بين أدوات المسح الأمني الموزعة على نطاق واسع في نظام DevSecOps البيئي. جعل هذا الوصول هدفاً ذا قيمة استثنائية.

أكد Itay Shakury، مسؤول Trivy في Aqua Security، أن الجهات الفاعلة التهديد استخدمت بيانات اعتماد مسروقة لفرض دفع تبعيات خبيثة إلى جميع إصدارات مرقمة تقريباً من مكونات GitHub Actions الأساسية: trivy-action و setup-trivy. بدأ الهجوم في الساعات الأولى من صباح يوم الخميس ولم يتم الكشف عنه لعدة ساعات، وخلالها قد تكون خطوط أنابيب CI/CD الآلية في جميع أنحاء العالم قد سحبت وأجريت الكود المعرض للخطر.

ما معنى فرض الدفع

فرض الدفع هو عملية git تتجاوز آليات السلامة التي تحمي الالتزامات الموجودة من الكتابة الزائدة. بالنسبة إلى GitHub Actions تحديداً، هذا خطير بشكل خاص. عندما يثبت المطورون سير عمل CI/CD الخاص بهم على علامة إجراء Trivy محددة - وهي ممارسة أمان شائعة مقصودة لضمان القابلية للتكرار - فإنهم يثقون بأن العلامة تشير إلى نفس الكود الذي كانت دائماً. يكسر فرض الدفع المحيط بالتعليمات البرمجية الخبيثة هذا الافتراض بصمت: يبدو أن تكوين خط الأنابيب دون تغيير ولكنه الآن ينفذ كوداً يتحكم فيه المهاجمون بأي أذونات يوفرها بيئة CI/CD.

ما فعله الكود الخبيث

أشار تحليل العلامات المعرضة للخطر إلى أن المهاجمين استبدلوا التبعيات الشرعية لـ Trivy ببدائل خبيثة مصممة لتنفيذ كود داخل بيئة عداء CI/CD. كان الهدف هو الوصول إلى الأسرار - رموز API، وبيانات اعتماد السحابة، ومفاتيح التوقيع، والقيم الحساسة الأخرى التي يمرها المطورون بشكل روتيني إلى خطوط الأنابيب.

لدى إجراء Trivy المعرض للخطر الذي يعمل في سير عمل GitHub Actions الوصول إلى أي شيء لديه سير العمل، والذي في العديد من المنظمات يتضمن بيانات اعتماد النشر الإنتاجي والمصادقة لموفر السحابة ومفاتيح توقيع الكائنات ومستودعات التعليمات البرمجية المصدر. يمكن أن ينتشر نطاق الانفجار المحتمل لأي تسريب واحد إلى اختراق البنية الأساسية للسحابة وخروقات البيانات وإدراج الكود الخبيث في برامج الإنتاج.

الاستجابة والسياق الأوسع

تحركت Aqua Security بسرعة بمجرد تأكيد الاختراق، وقامت بتدوير بيانات الاعتماد واستعادة الكود الشرعي لجميع العلامات المتأثرة. نصحت الفريق جميع المستخدمين بمعاملة أي خط أنابيب قام بتشغيل إجراءات Trivy أثناء نافذة الاختراق كما قد يكون متأثراً وتدوير جميع الأسرار التي يمكن الوصول إليها على الفور.

توافق مجتمع الأمن: ثبّت GitHub Actions على بيانات أمان SHA التزام المحددة بدلاً من أسماء العلامات القابلة للتغيير. يمكن فرض العلامات؛ لا يمكن استبدال بيانات أمان الالتزام بصمت بدون الكشف. لقد شهدت هذه الممارسة الموصى بها المعروفة اعتماداً متأخراً، وسيؤدي هذا الحادث على الأرجح إلى تسريع تغييرات سياسة CI/CD التنظيمية. الهجوم هو أحدث إدخال في قائمة متزايدة من اختراقات سلسلة التوريد التي تستهدف أدوات المصدر المفتوح التي تدعم تطوير البرامج الحديثة - وهي اتجاه لا يظهر أي علامات على التباطؤ.

يستند هذا المقال إلى تقارير Ars Technica. اقرأ المقال الأصلي.