TechFlowより、6月25日、サイバーセキュリティ企業Noveeは最新の研究において、「Cordyceps」と名付けられたCI/CDサプライチェーン脆弱性パターンを発見したと発表しました。この脆弱性パターンは、主にGitHub Actionsワークフローにおけるコマンドインジェクション、認証ロジックの欠陥、アーティファクトの汚染、権限昇格などの問題に関連しています。報告書によると、未認証の攻撃者が特定の条件下で、この脆弱性を悪用してワークフローの乗っ取り、資格情報の窃取、あるいはコードリポジトリの制御を実現することが可能です。
Noveeによれば、同社は約3万個の影響力の高いオープンソースコードリポジトリをスキャンした結果、関連リスクを有するリポジトリとして654個を特定し、そのうち300個以上が完全に悪用可能であることが確認されました。報告書では、Microsoft Azure Sentinel、GoogleのAI Agent Development Kitのサンプルリポジトリ、Apache Doris、Cloudflare Workers SDK、Python Blackなどのプロジェクトが事例として挙げられています。また、本研究では、従来のセキュリティツールでは、このような複数のワークフローにまたがり、複数のステップから構成される攻撃チェーンを検出することが困難であると指摘されています。さらに、AIによるコード生成ツールが、不適切なCI/CD設定パターンの拡散を加速させる可能性があるとも述べられています。
お気に入りに追加
SNSで共有
