La investigación de Trend Micro sobre GitHub Codespaces revela una vulnerabilidad
in

La investigación de Trend Micro sobre GitHub Codespaces revela una vulnerabilidad

Esta vez, la vulnerabilidad de GitHub se descubrió por adelantado, no retroactivamente.
Fuente: Pixabay

Una investigación de Trend Micro descubrió que la función de «reenvío de puertos» en GitHub Codespaces podría permitir que los ciberdelincuentes alojen y entreguen malware. Los investigadores han descubierto que es posible utilizar un intercambio público de puertos de reenvío para crear un servidor malicioso. Para hacer esto, los atacantes necesitan una cuenta legítima de GitHub para evitar ser marcados como sospechosos. Sin embargo, hasta el momento no ha habido un solo incidente que utilice una vulnerabilidad de seguridad.

GitHub Codespaces, disponible desde noviembre de 2022, es popular entre los desarrolladores y las grandes empresas tecnológicas. Les proporciona un entorno en contenedores equipado con herramientas y dependencias para completar proyectos. Los desarrolladores implementan plataformas de entorno de desarrollo integrado (IDE) dentro de estos contenedores virtuales. Esto les permite escribir, editar y probar código directamente en el navegador web.

GitHub Codespaces tiene más de 94 millones de cuentas de desarrollador y lo utilizan grandes empresas como DuoLingo y Vanta. Después del registro, cada desarrollador puede crear al menos dos copias del código de forma gratuita.

Vulnerabilidad de puerto público de GitHub Codespaces

Instantánea de GitHub Codespaces que muestra lo fácil que es hacer que los puertos sean públicos.La instalación de puertos públicos puede aumentar drásticamente las posibilidades de ciberdelincuencia.
Fuente: Trend Micro

Mientras que el reenvío de puertos privados requiere cookies o tokens para la autenticación, el puerto público está disponible para casi cualquier persona con acceso a la URL. Según la investigación de Trend Micro, el problema con GitHub Codespaces es que cuando permite el reenvío de puertos públicos a través del Protocolo de control de transmisión (TCP) para que los usuarios vean y prueben aplicaciones, también proporciona un medio de entrada para los ciberdelincuentes.

Artículo Recomendado:
Samsung duplica los esfuerzos de seguimiento de Exynos (sin sentido)

Esto permite a los atacantes eludir las sospechas de las plataformas de inteligencia de amenazas. En GitHub Codespaces, los puertos se reenvían mediante HTTP. HTTP es menos seguro que HTTPS. Sin mostrar un historial malicioso, el malware permanece sin ser detectado. En un ataque simulado de Trend Micro, los investigadores reenviaron el puerto 8000 utilizando la propiedad forwardPorts. Luego, iniciaron un servidor HTTP basado en Python cada vez que el contenedor se inició con éxito mediante la propiedad postStartCommand.

En consecuencia, los investigadores demostraron cómo un ciberdelincuente podría ejecutar un servidor web Python, cargar scripts maliciosos en Codespace y abrir un puerto de servidor web público. Después de eso, usaron la URL para distribuir malware a los usuarios finales. A lo largo del proceso, GitHub Codespaces no ejecutó ningún procedimiento de autenticación.

Este proceso es similar a cómo los ciberdelincuentes distribuyen malware en otros servicios de confianza como Microsoft Azure, Google Cloud y Amazon AWS.

Uso de contenedores de desarrollo para la eficiencia

Una imagen de un diagrama que muestra cómo los ciberdelincuentes cargarían malware en GitHub Codespaces.Los atacantes utilizaron el poder de GitHub Codespaces para lograr sus objetivos.
Fuente: Trend Micro

Dado que los contenedores de desarrollo de GitHub contienen todas las herramientas y dependencias utilizadas en los proyectos, los desarrolladores confían en ellos para una implementación rápida. Pero al mismo tiempo, los mismos contenedores de desarrollo también ayudan a los ciberdelincuentes a crear un servidor web malicioso en GitHub Codespaces en minutos sin ninguna verificación.

“Usando dichos scripts, los atacantes pueden abusar fácilmente de GitHub Codespaces para entregar rápidamente contenido malicioso al abrir puertos públicamente en sus entornos de codespace. Dado que cada espacio de código creado tiene un identificador único, el subdominio asociado con él también es único. Esto le da a un atacante razón suficiente para crear diferentes instancias de directorios públicos”, dijo Trend Micro en un informe.

Artículo Recomendado:
¡Convierte tu ventana en una fuente de electricidad!

Normalmente, la plataforma elimina los espacios de código en un plazo de 30 días, lo que permite a los atacantes utilizar la URL durante un mes. Aunque esta vulnerabilidad de seguridad en particular aún no ha sido explotada, los ciberdelincuentes no perderán el tiempo una vez que la descubran. Su pasión por usar servicios gratuitos como Dropbox, GitHub, Azure, OneDrive y más es bien conocida y documentada. Desafortunadamente, estas vulnerabilidades abren la posibilidad de que usuarios desprevenidos descarguen malware de estas plataformas.

GitHub bajo fuego

Instantánea del sitio oficial GitHub Codespaces sobre un fondo negro.Con GitHub Codespaces, es fácil comenzar a codificar al instante. Es fácil que los ciberdelincuentes hagan lo mismo.
Fuente: espacios de código de GitHub.

En los últimos años, GitHub se ha enfrentado a una serie de delitos cibernéticos dirigidos contra él. Esto se debe en parte a su creciente tamaño y popularidad, lo que lo convierte en un objetivo atractivo para los ciberdelincuentes. En respuesta, GitHub está actualizando sus funciones de seguridad para combatir estas amenazas. La última de estas acciones es un movimiento de GitHub que hace que la autenticación de dos factores y el escaneo secreto gratuito sean obligatorios para todos los usuarios.

A medida que las empresas, sin darse cuenta, lanzan su código al público en GitHub, quedan conmocionados por las consecuencias. Por ejemplo, Toyota dejó la clave de acceso público en GitHub durante 5 años. Más tarde se arrepintieron cuando los ciberdelincuentes comprometieron la información personal de 296.000 de sus clientes.

De manera similar, en enero de 2022, Nissan North America fue pirateada cuando los ciberdelincuentes expusieron 20 GB de información confidencial. La brecha de seguridad ocurrió debido a las credenciales de acceso predeterminadas en el servidor Git (Git no es lo mismo que GitHub, pero tiene características similares). Además, en diciembre de 2022, el proveedor de autenticación de Okta fue atacado a través de los repositorios de GitHub, pero estos eran repositorios privados, no públicos.

Artículo Recomendado:
IGTV: Instagram para YouTube, pero… ¿vertical?

Los dueños de negocios que administran equipos de desarrollo de software deben proteger el entorno en el que los desarrolladores contribuyen con su código. Preferiblemente, pueden hacer esto con alguna forma de autenticación multifactor (MFA) en todas las confirmaciones para restringir el acceso. Además, las empresas deben instalar puertos privados, una práctica que reducirá la variedad de posibles vectores de ataque. Estas son soluciones simples que funcionan muy bien contra muchas amenazas mortales. Dejar un puerto público abierto es un error de principiante, pero a menudo se convierte en una razón obvia para compromisos serios.

Los entornos de desarrollo de software deben evolucionar

La lección aquí es que la autenticación del usuario debe ser primordial. Esto ayudará a evitar las consecuencias de una fuga en la parte superior de la cadena de suministro de software que podría extenderse a los usuarios y organizaciones a lo largo de la cadena.

Si bien las cookies y los tokens pueden dificultar que los ciberdelincuentes ingresen a dichos espacios, la autenticación multifactor (MFA) mejora en gran medida la seguridad en línea. Esto demuestra por qué las empresas deben hacer todo lo posible para implementar protocolos de seguridad adicionales. En última instancia, las contraseñas tendrán que reemplazar las torpes contraseñas y los MFA en el mundo del software. Por el momento, no hay nada más importante que este cambio en la industria, que finalmente puede detener la ola de ciberdelincuencia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Para su próxima presentación, Google le permitirá agregar un video de usted mismo a sus diapositivas.

Para su próxima presentación, Google le permitirá agregar un video de usted mismo a sus diapositivas.

vivasalesmicrosoft

Viva Sales by Microsoft: una nueva aplicación complementaria que funciona con muchos sistemas CRM (no solo Microsoft).