Dacă folosești element-data, este esențial să verifici dacă ai fost compromis.
Un software open source, cu peste 1 milion de descărcări lunare, a fost compromis după ce un actor de amenințare a exploatat o vulnerabilitate în fluxul de lucru al contului dezvoltatorilor, obținând acces la cheile de semnare și alte informații sensibile.
Vineri, atacatorii au exploatat această vulnerabilitate pentru a lansa o nouă versiune a element-data, o interfață de linie de comandă care ajută utilizatorii să monitorizeze performanța și anomaliile în sistemele de învățare automată. Odată executat, pachetul rău intenționat scana sistemele în căutarea datelor sensibile, inclusiv profiluri de utilizator, credențiale de depozitare, chei de furnizor de cloud, token-uri API și chei SSH, conform declarațiilor dezvoltatorilor. Versiunea malignă a fost etichetată ca 0.23.3 și a fost publicată pe conturile Python Package Index și Docker ale dezvoltatorilor. Aceasta a fost eliminată aproximativ 12 ore mai târziu, sâmbătă. Nici Elementary Cloud, nici pachetul Elementary dbt și nici alte versiuni CLI nu au fost afectate.
„Utilizatorii care au instalat versiunea 0.23.3 sau cei care au descărcat și executat imaginea Docker afectată ar trebui să presupună că orice credențiale accesibile în mediu în care a rulat ar fi putut fi expuse”, au scris dezvoltatorii.
Actorul amenințării a obținut acces la contul dezvoltatorilor exploatând o vulnerabilitate într-o acțiune GitHub pe care au creat-o. Postând cod malițios într-o cerere de tragere, atacatorii au reușit să execute un script bash în contul dezvoltatorului. Scriptul bash a extras datele sensibile. Cu tokenurile de cont și cheile de semnare, atacatorul a continuat să publice un pachet element-data malițios care era aproape de nerecunoscut față de unul legitim.
Dezvoltatorii au aflat despre compromis dintr-un raport de problemă terță parte. În decurs de trei ore, pachetul a fost eliminat. Dezvoltatorii Element au spus că au rotit toate credențialele la care codul malițios a avut acces. Au remediat de asemenea vulnerabilitatea și au auditat toate acțiunile lor GitHub pentru a se asigura că niciuna nu conține aceeași eroare.
Dezvoltatorii îndeamnă toți cei care au instalat versiunea 0.23.3 să urmeze imediat următorii pași:
1. Verificați versiunea instalată:
pip show elementary-data | grep Version
2. Dacă versiunea este 0.23.3, dezinstalați-o și înlocuiți-o cu versiunea sigură:
pip install elementary-data==0.23.4
În fișierele dvs. de cerințe și de blocare, fixați explicit la elementary-data==0.23.4.
3. Ștergeți fișierele cache pentru a evita orice artefacte.
4. Verificați prezența fișierului marker al malware-ului pe orice mașină unde CLI-ul ar fi putut rula: Dacă acest fișier este prezent, payload-ul a fost executat pe acea mașină.
macOS / Linux: /tmp/.trinny-security-update
Windows: %TEMP%\.trinny-security-update
5. Rotați orice credențiale care erau accesibile din mediul în care a rulat 0.23.3 – profiluri dbt, credențiale de depozitare, chei de furnizor de cloud, token-uri API, chei SSH și conținutul oricărui fișier .env. Runnerii CI/CD sunt în mod special expuși deoarece, de obicei, au seturi largi de secrete montate la runtime.
6. Contactați echipa de securitate
Sursa: Ars Tehnica Technology
Poll: Care este primul pas recomandat de dezvoltatorii Element pentru cei care au instalat versiunea compromisă 0.23.3 a software-ului element-data?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply