ಟ್ರಿವಿ ಮತ್ತೆ ಆಕ್ರಮಣದಲ್ಲಿದೆ: ವ್ಯಾಪಕವಾದ GitHub ಕ್ರಿಯೆಗಳ ಟ್ಯಾಗ್ ರಾಜಿ ರಹಸ್ಯಗಳು
ಕಾಮೆಂಟ್ಗಳು
Mewayz Team
Editorial Team
ಮತ್ತೆ ಆಕ್ರಮಣಕ್ಕೆ ಒಳಗಾಗುವ ಪ್ರಯತ್ನ: ವ್ಯಾಪಕವಾದ GitHub ಕ್ರಿಯೆಗಳ ಟ್ಯಾಗ್ ರಾಜಿ ರಹಸ್ಯಗಳು
ಸಾಫ್ಟ್ವೇರ್ ಪೂರೈಕೆ ಸರಪಳಿಯ ಸುರಕ್ಷತೆಯು ಅದರ ದುರ್ಬಲ ಲಿಂಕ್ನಷ್ಟೇ ಪ್ರಬಲವಾಗಿದೆ. ಲೆಕ್ಕವಿಲ್ಲದಷ್ಟು ಅಭಿವೃದ್ಧಿ ತಂಡಗಳಿಗೆ, ಆ ಲಿಂಕ್ ದುರ್ಬಲತೆಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಅವರು ಅವಲಂಬಿಸಿರುವ ಸಾಧನವಾಗಿದೆ. ಘಟನೆಗಳ ತಿರುವಿನಲ್ಲಿ, ಆಕ್ವಾ ಸೆಕ್ಯುರಿಟಿ ನಿರ್ವಹಿಸುವ ಜನಪ್ರಿಯ ಓಪನ್-ಸೋರ್ಸ್ ದುರ್ಬಲತೆ ಸ್ಕ್ಯಾನರ್ ಟ್ರಿವಿ ಅತ್ಯಾಧುನಿಕ ದಾಳಿಯ ಕೇಂದ್ರದಲ್ಲಿ ಕಂಡುಬಂದಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ನಟರು ಅದರ GitHub ಕ್ರಿಯೆಗಳ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ನಿರ್ದಿಷ್ಟ ಆವೃತ್ತಿಯ ಟ್ಯಾಗ್ (`v0.48.0`) ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡಿದ್ದಾರೆ, ಅದನ್ನು ಬಳಸಿದ ಯಾವುದೇ ಕೆಲಸದ ಹರಿವಿನಿಂದ ಸೂಕ್ಷ್ಮ ರಹಸ್ಯಗಳನ್ನು ಕದಿಯಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚುತ್ತಾರೆ. ಈ ಘಟನೆಯು ನಮ್ಮ ಅಂತರ್ಸಂಪರ್ಕಿತ ಅಭಿವೃದ್ಧಿ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ, ನಂಬಿಕೆಯನ್ನು ನಿರಂತರವಾಗಿ ಪರಿಶೀಲಿಸಬೇಕು, ಊಹಿಸಬಾರದು ಎಂಬುದನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನೆನಪಿಸುತ್ತದೆ.
ಟ್ಯಾಗ್ ರಾಜಿ ದಾಳಿಯ ಅಂಗರಚನಾಶಾಸ್ತ್ರ
ಇದು ಟ್ರಿವಿಯ ಕೋರ್ ಅಪ್ಲಿಕೇಶನ್ ಕೋಡ್ನ ಉಲ್ಲಂಘನೆಯಾಗಿರಲಿಲ್ಲ, ಆದರೆ ಅದರ CI/CD ಆಟೊಮೇಷನ್ನ ಬುದ್ಧಿವಂತ ವಿಧ್ವಂಸಕವಾಗಿದೆ. ಆಕ್ರಮಣಕಾರರು GitHub ಕ್ರಿಯೆಗಳ ರೆಪೊಸಿಟರಿಯನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದ್ದಾರೆ, `v0.48.0` ಟ್ಯಾಗ್ಗಾಗಿ `action.yml` ಫೈಲ್ನ ದುರುದ್ದೇಶಪೂರಿತ ಆವೃತ್ತಿಯನ್ನು ರಚಿಸಿದ್ದಾರೆ. ಡೆವಲಪರ್ನ ವರ್ಕ್ಫ್ಲೋ ಈ ನಿರ್ದಿಷ್ಟ ಟ್ಯಾಗ್ ಅನ್ನು ಉಲ್ಲೇಖಿಸಿದಾಗ, ಕಾನೂನುಬದ್ಧ ಟ್ರಿವಿ ಸ್ಕ್ಯಾನ್ ಅನ್ನು ರನ್ ಮಾಡುವ ಮೊದಲು ಕ್ರಿಯೆಯು ಹಾನಿಕಾರಕ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ. ದಾಳಿಕೋರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ರಿಮೋಟ್ ಸರ್ವರ್ಗೆ ರೆಪೊಸಿಟರಿ ಟೋಕನ್ಗಳು, ಕ್ಲೌಡ್ ಪ್ರೊವೈಡರ್ ರುಜುವಾತುಗಳು ಮತ್ತು API ಕೀಗಳಂತಹ ರಹಸ್ಯಗಳನ್ನು ಹೊರಹಾಕಲು ಈ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಈ ದಾಳಿಯ ಕಪಟ ಸ್ವಭಾವವು ಅದರ ನಿರ್ದಿಷ್ಟತೆಯಲ್ಲಿದೆ; ಸುರಕ್ಷಿತ `@v0.48` ಅಥವಾ `@ಮುಖ್ಯ` ಟ್ಯಾಗ್ಗಳನ್ನು ಬಳಸುವ ಡೆವಲಪರ್ಗಳು ಪರಿಣಾಮ ಬೀರಲಿಲ್ಲ, ಆದರೆ ನಿಖರವಾದ ರಾಜಿ ಟ್ಯಾಗ್ ಅನ್ನು ಪಿನ್ ಮಾಡಿದವರು ತಿಳಿಯದೆ ತಮ್ಮ ಪೈಪ್ಲೈನ್ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಪರಿಚಯಿಸಿದರು.
ಈ ಘಟನೆಯು DevOps ಪ್ರಪಂಚದಾದ್ಯಂತ ಏಕೆ ಪ್ರತಿಧ್ವನಿಸುತ್ತದೆ
ಟ್ರಿವಿ ರಾಜಿ ಹಲವಾರು ಕಾರಣಗಳಿಗಾಗಿ ಗಮನಾರ್ಹವಾಗಿದೆ. ಮೊದಲನೆಯದಾಗಿ, ಟ್ರಿವಿ ಎಂಬುದು ಕಂಟೈನರ್ಗಳು ಮತ್ತು ಕೋಡ್ಗಳಲ್ಲಿನ ದೋಷಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಲಕ್ಷಾಂತರ ಜನರು ಬಳಸುವ ಅಡಿಪಾಯದ ಭದ್ರತಾ ಸಾಧನವಾಗಿದೆ. ಭದ್ರತಾ ಸಾಧನದ ಮೇಲಿನ ದಾಳಿಯು ಸುರಕ್ಷಿತ ಅಭಿವೃದ್ಧಿಗೆ ಅಗತ್ಯವಾದ ಅಡಿಪಾಯದ ನಂಬಿಕೆಯನ್ನು ನಾಶಪಡಿಸುತ್ತದೆ. ಎರಡನೆಯದಾಗಿ, ಇತರ ಸಾಫ್ಟ್ವೇರ್ಗಳ ಮೇಲೆ ನಿರ್ಮಿಸಲಾದ ಉಪಕರಣಗಳು ಮತ್ತು ಅವಲಂಬನೆಗಳನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡು ಆಕ್ರಮಣಕಾರರು "ಅಪ್ಸ್ಟ್ರೀಮ್" ಅನ್ನು ಚಲಿಸುವ ಬೆಳವಣಿಗೆಯ ಪ್ರವೃತ್ತಿಯನ್ನು ಇದು ಎತ್ತಿ ತೋರಿಸುತ್ತದೆ. ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಒಂದು ಘಟಕವನ್ನು ವಿಷಪೂರಿತಗೊಳಿಸುವ ಮೂಲಕ, ಅವರು ಡೌನ್ಸ್ಟ್ರೀಮ್ ಯೋಜನೆಗಳು ಮತ್ತು ಸಂಸ್ಥೆಗಳ ವ್ಯಾಪಕ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಭಾವ್ಯವಾಗಿ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು. ಈ ಘಟನೆಯು ಪೂರೈಕೆ ಸರಪಳಿ ಭದ್ರತೆಯಲ್ಲಿ ನಿರ್ಣಾಯಕ ಪ್ರಕರಣದ ಅಧ್ಯಯನವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ಯಾವುದೇ ಉಪಕರಣವು ಎಷ್ಟೇ ಹೆಸರುವಾಸಿಯಾಗಿದ್ದರೂ, ಆಕ್ರಮಣಕಾರಿ ವೆಕ್ಟರ್ ಆಗಿ ಬಳಸುವುದರಿಂದ ಪ್ರತಿರೋಧಕವಾಗಿದೆ ಎಂಬುದನ್ನು ತೋರಿಸುತ್ತದೆ.
"ಈ ದಾಳಿಯು ಡೆವಲಪರ್ ನಡವಳಿಕೆ ಮತ್ತು CI/CD ಮೆಕ್ಯಾನಿಕ್ಸ್ನ ಅತ್ಯಾಧುನಿಕ ತಿಳುವಳಿಕೆಯನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ನಿರ್ದಿಷ್ಟ ಆವೃತ್ತಿಯ ಟ್ಯಾಗ್ಗೆ ಪಿನ್ ಮಾಡುವುದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಸ್ಥಿರತೆಗೆ ಉತ್ತಮ ಅಭ್ಯಾಸವೆಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ, ಆದರೆ ಈ ಘಟನೆಯು ನಿರ್ದಿಷ್ಟ ಆವೃತ್ತಿಯನ್ನು ರಾಜಿ ಮಾಡಿಕೊಂಡರೆ ಅಪಾಯವನ್ನು ಸಹ ಪರಿಚಯಿಸಬಹುದು ಎಂದು ತೋರಿಸುತ್ತದೆ. ಸುರಕ್ಷತೆಯು ನಿರಂತರ ಪ್ರಕ್ರಿಯೆಯಾಗಿದೆ, ಒಂದು-ಬಾರಿ ಸೆಟಪ್ ಅಲ್ಲ."
ನಿಮ್ಮ GitHub ಕ್ರಿಯೆಗಳನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಲು ತಕ್ಷಣದ ಕ್ರಮಗಳು
ಈ ಘಟನೆಯ ಹಿನ್ನೆಲೆಯಲ್ಲಿ, ಡೆವಲಪರ್ಗಳು ಮತ್ತು ಭದ್ರತಾ ತಂಡಗಳು ತಮ್ಮ GitHub ಕ್ರಿಯೆಗಳ ವರ್ಕ್ಫ್ಲೋಗಳನ್ನು ಗಟ್ಟಿಗೊಳಿಸಲು ಪೂರ್ವಭಾವಿ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಬೇಕು. ಆತ್ಮತೃಪ್ತಿ ಭದ್ರತೆಯ ಶತ್ರು. ತಕ್ಷಣವೇ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅಗತ್ಯವಾದ ಹಂತಗಳು ಇಲ್ಲಿವೆ:
- ಟ್ಯಾಗ್ಗಳ ಬದಲಿಗೆ ಕಮಿಟ್ SHA ಪಿನ್ನಿಂಗ್ ಅನ್ನು ಬಳಸಿ: ಯಾವಾಗಲೂ ಅವರ ಸಂಪೂರ್ಣ ಕಮಿಟ್ ಹ್ಯಾಶ್ ಮೂಲಕ ಕ್ರಿಯೆಗಳನ್ನು ಉಲ್ಲೇಖಿಸಿ (ಉದಾ., `ಆಕ್ಷನ್ಗಳು/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). ನೀವು ಕ್ರಿಯೆಯ ಬದಲಾಗದ ಆವೃತ್ತಿಯನ್ನು ಬಳಸುತ್ತಿರುವಿರಿ ಎಂದು ಖಾತರಿಪಡಿಸುವ ಏಕೈಕ ಮಾರ್ಗವಾಗಿದೆ.
- ನಿಮ್ಮ ಪ್ರಸ್ತುತ ಕೆಲಸದ ಹರಿವುಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಿ: ನಿಮ್ಮ `.github/workflows` ಡೈರೆಕ್ಟರಿಯನ್ನು ಪರೀಕ್ಷಿಸಿ. ಟ್ಯಾಗ್ಗಳಿಗೆ ಪಿನ್ ಮಾಡಲಾದ ಯಾವುದೇ ಕ್ರಿಯೆಗಳನ್ನು ಗುರುತಿಸಿ ಮತ್ತು ಅವುಗಳನ್ನು SHA ಗಳನ್ನು ಒಪ್ಪಿಸಿ, ವಿಶೇಷವಾಗಿ ನಿರ್ಣಾಯಕ ಭದ್ರತಾ ಸಾಧನಗಳಿಗಾಗಿ.
- GitHub ನ ಭದ್ರತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿಯಂತ್ರಿಸಿ: ಅಗತ್ಯವಿರುವ ಸ್ಥಿತಿ ಪರಿಶೀಲನೆಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ ಮತ್ತು `ವರ್ಕ್ಫ್ಲೋ_ಪರ್ಮಿಷನ್ಗಳು` ಸೆಟ್ಟಿಂಗ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ, ರಾಜಿಯಾದ ಕ್ರಿಯೆಯಿಂದ ಸಂಭವನೀಯ ಹಾನಿಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಅವುಗಳನ್ನು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಓದಲು-ಮಾತ್ರ ಎಂದು ಹೊಂದಿಸಿ.
- ಅಸಾಧಾರಣ ಚಟುವಟಿಕೆಗಾಗಿ ಮಾನಿಟರ್: ನಿಮ್ಮ ರಹಸ್ಯಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಅನಿರೀಕ್ಷಿತ ಔಟ್ಬೌಂಡ್ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಗಳು ಅಥವಾ ಅನಧಿಕೃತ ಪ್ರವೇಶ ಪ್ರಯತ್ನಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ನಿಮ್ಮ CI/CD ಪೈಪ್ಲೈನ್ಗಳಿಗೆ ಲಾಗಿಂಗ್ ಮತ್ತು ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿ.
ಮೆವೇಜ್ನೊಂದಿಗೆ ಚೇತರಿಸಿಕೊಳ್ಳುವ ಅಡಿಪಾಯವನ್ನು ನಿರ್ಮಿಸುವುದು
ವೈಯಕ್ತಿಕ ಪರಿಕರಗಳನ್ನು ಭದ್ರಪಡಿಸುವುದು ನಿರ್ಣಾಯಕವಾಗಿದ್ದರೂ, ನಿಜವಾದ ಸ್ಥಿತಿಸ್ಥಾಪಕತ್ವವು ನಿಮ್ಮ ವ್ಯಾಪಾರ ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಸಮಗ್ರ ವಿಧಾನದಿಂದ ಬರುತ್ತದೆ. ಟ್ರಿವಿ ರಾಜಿಯಂತಹ ಘಟನೆಗಳು ಆಧುನಿಕ ಟೂಲ್ಚೇನ್ಗಳಲ್ಲಿ ಹುದುಗಿರುವ ಗುಪ್ತ ಸಂಕೀರ್ಣತೆಗಳು ಮತ್ತು ಅಪಾಯಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತವೆ. Mewayz ನಂತಹ ವೇದಿಕೆಯು ಏಕೀಕೃತ, ಮಾಡ್ಯುಲರ್ ವ್ಯಾಪಾರ OS ಅನ್ನು ಒದಗಿಸುವ ಮೂಲಕ ಇದನ್ನು ಪರಿಹರಿಸುತ್ತದೆ ಅದು ಅವಲಂಬನೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ನಿಯಂತ್ರಣವನ್ನು ಕೇಂದ್ರೀಕರಿಸುತ್ತದೆ. ಒಂದು ಡಜನ್ ವಿಭಿನ್ನ ಸೇವೆಗಳನ್ನು ಕಣ್ಕಟ್ಟು ಮಾಡುವ ಬದಲು-ಪ್ರತಿಯೊಂದೂ ತನ್ನದೇ ಆದ ಭದ್ರತಾ ಮಾದರಿ ಮತ್ತು ನವೀಕರಣ ಚಕ್ರದೊಂದಿಗೆ-ಮೇವೇಜ್ ಪ್ರಾಜೆಕ್ಟ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್, ಸಿಆರ್ಎಂ ಮತ್ತು ಡಾಕ್ಯುಮೆಂಟ್ ನಿರ್ವಹಣೆಯಂತಹ ಪ್ರಮುಖ ಕಾರ್ಯಗಳನ್ನು ಏಕ, ಸುರಕ್ಷಿತ ಪರಿಸರಕ್ಕೆ ಸಂಯೋಜಿಸುತ್ತದೆ. ಈ ಬಲವರ್ಧನೆಯು ದಾಳಿಯ ಮೇಲ್ಮೈಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಭದ್ರತಾ ಆಡಳಿತವನ್ನು ಸರಳಗೊಳಿಸುತ್ತದೆ, ವಿಘಟಿತ ಸಾಫ್ಟ್ವೇರ್ ಸ್ಟ್ಯಾಕ್ನಲ್ಲಿ ನಿರಂತರವಾಗಿ ದೋಷಗಳನ್ನು ಪ್ಯಾಚ್ ಮಾಡುವ ಬದಲು ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ನಿರ್ಮಿಸುವತ್ತ ಗಮನಹರಿಸಲು ತಂಡಗಳಿಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ. ಒಂದೇ ಒಂದು ರಾಜಿ ಟ್ಯಾಗ್ ಪ್ರಮುಖ ಉಲ್ಲಂಘನೆಗೆ ಕಾರಣವಾಗಬಹುದಾದ ಜಗತ್ತಿನಲ್ಲಿ, Mewayz ನೀಡುವ ಸಮಗ್ರ ಭದ್ರತೆ ಮತ್ತು ಸುವ್ಯವಸ್ಥಿತ ಕಾರ್ಯಾಚರಣೆಗಳು ಬೆಳವಣಿಗೆಗೆ ಹೆಚ್ಚು ನಿಯಂತ್ರಿತ ಮತ್ತು ಆಡಿಟ್ ಮಾಡಬಹುದಾದ ಅಡಿಪಾಯವನ್ನು ಒದಗಿಸುತ್ತವೆ.
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →