Duizenden opensource code-opslagplaatsen op GitHub kunnen gevaar lopen door een oude kwetsbaarheid, namelijk RepoJacking. Dat schrijft cybersecuritybedrijf Aqua in een rapport als gevolg van een steekproef bij meer dan een miljoen opslagplaatsen.
Tijdens de analyse ontdekte Aqua dat liefst drie procent van de opslagplaatsen kwetsbaar waren voor een RepoJacking-aanval. De auteur schrijven in hun verslag dat hackers een deel of zelfs een volledig GitHub-project kunnen overnemen. Het probleem is hierbij dat organisaties die eigenaar zijn van de projecten soms hun naam veranderen en daarom koppelingen maken om de oude accountnaam te behouden. Net die koppeling kunnen aanvaller uitbuiten, zo blijkt.
Onvolledige beveiliging
Volgens Aqua heeft GitHub maatregelen genomen, maar blijken die onvoldoende om alle aanvallen af te slaan. “Ondanks de pogingen om RepoJacking te blokkeren de voorbije jaren kunnen aanvallers de beveiliging nog altijd omzeilen”, aldus Ilay Goldman en Yakir Kodkoda van Aqua. Wanneer een aanval slaagt, dan kan er malware worden geplaatst met alle gevolgen van dien. Het beveiligingsbedrijf illustreerde zelfs enkele aanvalstechnieken, zoals handmatig als automatisch.
RepoJacking is geen nieuw fenomeen, weet Silicon Angle. Een jaar geleden schreef Checkmarx er al over in een blogpost. Toen al bleken duizenden GitHub-projecten een open doelwit voor aanvallers. Sindsdien is het probleem, ondanks verschillende pogingen vanuit GitHub zelf, nog altijd niet verholpen. De firma ontdekte meer dan 36.000 kwetsbare datasets uit de loggeschiedenis van juni 2019, ruim voor het Checkmarx-artikel dus.
Repositories controleren
Aqua ontdekte dat verschillende projecten eigendom zijn van grootspelers zoals Google en waarschuwde de betrokken partijen voor de publicatie van hun rapport. Net omdat de gegevens dateren van voor het Checkmarx-verslag, hebben verschillende accounteigenaren wellicht zelf al stappen genomen om zich te beschermen. Dat was alleszins het geval voor Google en Lyft, die aan Aqua lieten weten dat hun respectievelijke repositories niet (meer) in gebruik waren.
lees ook
Overheid lanceert campagne om kmo’s te beschermen tegen cyberaanvallen
Organisaties die opensource projecten bezitten bij GitHub krijgen een raadgeving van Aqua. Zo moeten ze op regelmatige basis hun repositories controleren op links die naar externe accounts gaan, en ervoor zorgen dat de naamgevingsconventies geldig zijn. “Wanneer de naam van de organisatie verandert, dan moeten bedrijven ervoor zorgen dat ze die oude naam nog bezitten. Zo voorkomen ze dat aanvallers die oude naam gebruiken om een aanval te lanceren”, aldus Aqua.