Industrie Mag - Le journal de l'industrie.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Ces découvertes contribuent à protéger l’infrastructure technologique mondiale, utilisée par des milliards d’utilisateurs, contre des exploitations de workflows CI/CD de type « Shai-Hulud ».
JFrog Ltd (Nasdaq : FROG), The Liquid Software company et créatrice de la JFrog Software Supply Chain Platform, a annoncé aujourd’hui que son équipe Security Research a été la première à détecter, signaler et contribuer à corriger 13 vulnérabilités, dont 10 critiques, dans des workflows CI/CD au sein de dépôts GitHub très utilisés. Ces failles ont été identifiées grâce à RepoHunter, l’outil de recherche interne de JFrog : un bot de recherche en sécurité alimenté par l’IA, conçu pour détecter les vulnérabilités dans les workflows CI/CD.
Les vulnérabilités ont été découvertes dans des dépôts tels que Ansible, un logiciel d’automatisation utilisé par des millions d’utilisateurs en entreprise, dont des sociétés du Fortune 500, ainsi que QGIS, un outil de cartographie et de visualisation de données largement utilisé par des organisations gouvernementales.
Les vulnérabilités découvertes par l’équipe JFrog Security Research, communément appelées « Pwn Requests », menacent directement des infrastructures clés qui soutiennent les systèmes financiers mondiaux, les standards JavaScript ainsi que des infrastructures d’IA critiques utilisées par de grandes entreprises et des gouvernements à travers le monde. Cette découverte intervient dans le sillage du ver Shai-Hulud et de l’attaque « S1ngularity », qui ont tous deux exploité des failles similaires dans les pipelines CI/CD pour compromettre les chaînes d’approvisionnement logicielles et exfiltrer des données sensibles.
« Cette découverte constitue un signal d’alarme pour l’industrie, car elle met en lumière deux préoccupations majeures. Premièrement, les pipelines CI/CD sont devenus des points de risque critiques : les attaquants exploitent désormais des vulnérabilités dans l’open source. Les 13 failles “Pwn Request” que nous avons identifiées illustrent ce basculement, avec des attaques qui ne ciblent plus directement les éditeurs de packages, mais cherchent désormais à détourner les pipelines eux-mêmes. Deuxièmement, cette découverte montre que la dépendance de l’industrie à l’automatisation fondée sur la confiance est aujourd’hui exploitée à grande échelle. Notre bot de recherche en sécurité alimenté par l’IA, RepoHunter, démontre que, lorsqu’elles sont détournées de leur usage, les technologies d’IA peuvent gravement compromettre les chaînes d’approvisionnement logicielles à l’échelle mondiale. Des attaques qui nécessitaient autrefois plusieurs mois de préparation pour les acteurs malveillants peuvent désormais être menées en quelques jours. Cela souligne l’importance de mettre ces outils entre les mains d’acteurs de confiance afin de détecter et de contrer rapidement les menaces potentielles. » a déclaré Shachar Menashe, Vice President of Security Research chez JFrog.
Dans le développement logiciel moderne, les pipelines CI/CD sont devenus l’élément central d’une livraison logicielle rapide et efficace. Ces systèmes automatisés facilitent le passage de la validation du code à la mise en production, permettant aux organisations de déployer de nouvelles fonctionnalités plus rapidement que jamais. Cependant, cette évolution a également fait des pipelines CI/CD des cibles privilégiées pour les attaquants sophistiqués, en leur offrant un accès direct aux « clés du royaume ». Dans ce contexte, l’ampleur potentielle de l’impact de ces vulnérabilités, si elles avaient été exploitées, est considérable.
En soumettant des pull requests malveillants exploitant des métadonnées ou du code insuffisamment filtrés, ces vulnérabilités ouvrent la voie à l’exfiltration de données critiques, notamment des identifiants cloud, des clés de signature et des jetons de déploiement. Ces informations sensibles peuvent ensuite être utilisées pour injecter du code malveillant dans ces mêmes projets et lancer des attaques à grande échelle contre la chaîne d’approvisionnement logicielle.
Workflows de chaîne d’approvisionnement logicielle à grande échelle : Les failles découvertes dans Ansible auraient pu permettre le détournement de 29 packages, représentant des millions de téléchargements mensuels, et potentiellement compromettre les environnements de développement de nombreux utilisateurs qui en dépendent.
Systèmes de paiement mobile alimentés par l’IA : Des vulnérabilités ont été identifiées dans Xorbitsai et Tencent/ncnn, les frameworks d’IA qui sous-tendent WeChat Pay et ses 1,4 milliard d’utilisateurs.
Chaînes d’outils des langages de programmation : Une vulnérabilité critique a été identifiée dans un dépôt de proposition tc39, ce qui aurait pu compromettre la confiance dans le processus de standardisation de JavaScript et créer un risque pour l’ensemble de l’écosystème en aval. Des vulnérabilités ont également été découvertes dans p4lang ettypst.
Normes mondiales et infrastructures de sécurité : JFrog a également découvert et corrigé des vulnérabilités dans Eclipse Theia, les bibliothèques Petgraph (Rust) et sdkman (outils pour développeurs), QGIS (cartographie géospatiale), telepresence (outil open source de la CNCF), ainsi que dans d’autres projets. Ces failles auraient pu affaiblir la sécurité logicielle des entreprises, provoquer des problèmes de performance ou entraîner des pertes de données, et ainsi porter atteinte à la confiance des utilisateurs ainsi qu’au respect des exigences de conformité. La protection de ces frameworks est essentielle pour garantir l’intégrité et la fiabilité des services qui soutiennent de nombreux usages numériques au quotidien.
Récemment, 7 autres dépôts appartenant à Microsoft, DataDog, à la CNCF ainsi qu’à des projets open source populaires tels que Trivy ont été ciblés par des techniques assistées par l’IA similaires à celles utilisées par RepoHunter, ce qui démontre leur efficacité et souligne l’importance de placer ces technologies d’IA puissantes entre les mains de hackers éthiques (« white hat hackers »).
Ces techniques de recherche et ces découvertes ont été intégrées à la plateforme JFrog afin d’aider les clients à identifier les workflows vulnérables susceptibles d’entraîner la prise de contrôle de dépôts open source. JFrog a travaillé en étroite collaboration avec les éditeurs des projets afin de corriger ces failles de manière responsable avant leur divulgation publique.
Pour une analyse technique détaillée des vulnérabilités, des méthodes de découverte et des stratégies de remédiation, consultez ce blog.
