![GitHub Repojacking Hatası Saldırganların Diğer Kullanıcıların Depolarını Ele Geçirmesine İzin Verebilirdi](https://kilalu.blog/news/2024-07-30-23:55/GitHub Repojacking Hatası Saldırganların Diğer Kullanıcıların Depolarını Ele Geçirmesine İzin Verebilirdi.jpg)
Bulut tabanlı depo barındırma hizmeti GitHub, kötü amaçlı depolar oluşturmak ve tedarik zinciri saldırıları başlatmak için kullanılabilecek yüksek önemdeki bir güvenlik açığını ele aldı.
bu RepoJacking teknik, ifşa Checkmarx tarafından, adı verilen bir koruma mekanizmasının baypas edilmesini gerektirir. popüler depo ad alanı emekliliğigeliştiricilerin aynı ada sahip güvenli olmayan depoları çekmesini önlemeyi amaçlayan .
Sorun, sorumlu açıklamanın ardından 19 Eylül 2022’de Microsoft’a ait yan kuruluş tarafından ele alındı.
RepoJacking, bir veri havuzunun yaratıcısı kullanıcı adını değiştirmeyi tercih ettiğinde meydana gelir ve potansiyel olarak bir tehdit aktörünün eski kullanıcı adını talep etmesine ve kullanıcıları indirmeleri için kandırmak amacıyla aynı ada sahip sahte bir veri havuzu yayınlamasına olanak tanır.
![GitHub Repojacking Hatası GitHub Repojacking Hatası](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/11/1667292496_868_GitHub-Repojacking-Hatasi-Saldirganlarin-Diger-Kullanicilarin-Depolarini-Ele-Gecirmesine-Izin.jpg)
Microsoft’un karşı önlemi “emekliyken[s] Sahibinin hesabının yeniden adlandırılmasına veya silinmesine kadar geçen hafta içinde 100’den fazla klonu olan herhangi bir açık kaynak projesinin ad alanı,” Checkmarx bunun “depo transferi” özellik.
Bunun çalışma şekli aşağıdaki gibidir –
- Bir tehdit aktörü, “kurban” adlı bir kullanıcının sahip olduğu ancak farklı bir kullanıcı adı altında (“yardımcı” gibi) kullanımdan kaldırılan havuzla aynı ada sahip bir havuz oluşturur (örneğin, “repo”)
- “yardımcı”, “repo”nun sahipliğini “saldırgan” kullanıcı adıyla ikinci bir hesaba aktarır
- “saldırgan”, hesabın kullanıcı adını “kurban” olarak yeniden adlandırır
- “Kurban/repo” ad alanı artık düşmanın kontrolü altında
Başka bir deyişle, saldırı, GitHub’ın yalnızca ad alanını kullanımdan kaldırılmış olarak kabul ettiği tuhaflığa, yani kullanıcı adı ve depo adının birleşimine, kötü bir aktörün depo adını rastgele bir kullanıcı adıyla birlikte yeniden kullanmasına izin vermesine bağlıdır.
![GitHub Repojacking Hatası GitHub Repojacking Hatası](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhMA1oe87rpU9KqFf6ECSaUApgd9b7mBWtNyoZbbLU2unzRye5NBj4R-nr_7LMIY0ksFlzxnTd51BbIOkLoU1hLNGUpegEspFHtkheOOmLnky9EAEOoMXiOUS217ZsQnMtmM9X558bJTujXSUInzMXHk5TIjG8eTBT1jLNuMJadvMpWOppln9A1mI1Z/s728-e1000/patch.jpg)
Başarılı sömürü saldırganların zehirli depoları zorlamalarına etkin bir şekilde izin vererek, yeniden adlandırılan kullanıcı adlarını tedarik zinciri saldırılarının kurbanı olma riskine sokabilirdi.
Checkmarx araştırmacısı Aviad Gershon, “Açıkça yönlendirilmezse, GitHub’daki tüm yeniden adlandırılan kullanıcı adları, Go, Swift ve Packagist paket yöneticilerinde 10.000’den fazla paket de dahil olmak üzere bu kusura karşı savunmasızdı.” Dedi.
Popular Articles
- 15 Jul Bu Restoranda Yemek Beklerken Sıkılmak İmkansız
- 07 Aug Neden Karşılıklı Esniyoruz? İşte Bilim İnsanlarından Esnemenin Bulaşıcı Olmasıyla İlgili İlginç Bulgular
- 05 Aug Kültür Ve Turizm Bakanı Mehmet Nuri Ersoy, Olimposu Ziyaret Etti
- 18 Aug Kuveyt Emiri Sabahtan Suudi Arabistan Kralı Selmana mektup - Son Dakika Haberler
- 17 Jul Bahçede orman yangını - Son Dakika Haberler
Latest Articles
- 13 Jul Call of Duty 2023 Hakkında İlk Bilgiler Geldi
- 11 Aug NVIDIA GeForce RTX 4070 Ti Lansman Tarihi İtalyan Satıcı Tarafından Onaylandı, 5 Ocak’ta Mağaza Raflarında
- 21 Jul Muğla’da Yangın Yüzünden Paranoyak Olan Bir Vatandaşın Yoldan Geçeni Durdurup GBT Sorgusu Yapmaya Çalışması Tepki Çekti [Video]
- 14 Jul Fatih Tekke: Hedefimiz ligde kalmak
- 29 Jul Realme Her Yıl En Az 2 GT Modeli Çıkaracak