Eine kürzlich eingeführte GitHub-Funktion kann missbraucht werden, um Malware zu hosten und zu verteilen (öffnet in neuem Tab) in der Software-Entwickler-Community haben Experten behauptet.
Cybersicherheitsforscher von Trend Micro haben einen Bericht veröffentlicht, in dem detailliert beschrieben wird, wie GitHub-Codespaces missbraucht werden können, um bösartige Skripte an ahnungslose Softwareentwickler zu liefern.
GitHub beschreibt Codespaces, das im November 2022 eingeführt wurde, als „eine sofortige, cloudbasierte Entwicklungsumgebung, die einen Container verwendet, um Ihnen gemeinsame Sprachen, Tools und Dienstprogramme für die Entwicklung bereitzustellen“. Mit anderen Worten, Entwickler können Code direkt im Browser schreiben und testen.
Probleme mit der TCP-Portweiterleitung
Das Problem liegt in der Tatsache, dass Codespaces die Weiterleitung von TCP-Ports erlaubt, eine gut gemeinte Funktion, die es Entwicklern ermöglicht, ihre Arbeit mit der Öffentlichkeit zu teilen, wahrscheinlich zu Testzwecken. Wer die URL kennt, kann auf das Werk zugreifen. Theoretisch kann ein Bedrohungsakteur also einen Python-Webserver betreiben, Malware in den Codespace hochladen, einen Webserver-Port öffnen und die Sichtbarkeit auf „öffentlich“ setzen.
„Um unsere Hypothese des Bedrohungsmodellierungs-Missbrauchsszenarios zu validieren, haben wir einen Python-basierten HTTP-Server auf Port 8080 ausgeführt, den Port weitergeleitet und öffentlich zugänglich gemacht“, so Trend Micro in seinem Bericht. „Dabei haben wir problemlos die URL und das Fehlen von Cookies zur Authentifizierung gefunden.“
Darüber hinaus verwendet die Portweiterleitung standardmäßig HTTP, aber Hacker können es einfach auf HTTPS einstellen, um das falsche Sicherheitsgefühl zu verstärken. Erschwerend kommt hinzu, dass GitHub als vertrauenswürdige Umgebung gilt, der Datenverkehr von Microsoft kommt und daher wahrscheinlich keine Antiviren-Alarme auslösen wird.
Aber das ist nicht alles. Eine Codespaces-Funktion namens „Dev Containers“ kann auch missbraucht werden, um die Malware nahtloser zu verteilen. Mit dieser Funktion können Entwickler vorkonfigurierte Container erstellen, die alle erforderlichen Abhängigkeiten für ein Projekt enthalten.
Piepender Computer sagte, es sei gelungen, einen bösartigen Webserver mit Codespaces „in weniger als 10 Minuten und ohne Erfahrung mit der Funktion“ zu erstellen.
„Mit solchen Skripten können Angreifer GitHub Codespaces leicht missbrauchen, indem sie bösartige Inhalte schnell bereitstellen, indem sie Ports in ihren Codespace-Umgebungen öffentlich zugänglich machen. Da jeder erstellte Codespace eine eindeutige Kennung hat, ist auch die zugehörige Subdomain eindeutig“, schloss Trend Micro. “Das gibt dem Angreifer genug Boden, um verschiedene Instanzen von offenen Verzeichnissen zu erstellen.”
GitHub schweigt sich derzeit auf seinen Kanälen zu der Angelegenheit aus.
Über: Piepender Computer (öffnet in neuem Tab)