Back to Blog

จุดอ่อน Cordyceps ใน CI/CD ส่อแววเขย่าซัพพลายเชนซอฟต์แวร์

นักวิจัยพบจุดอ่อน Cordyceps ใน CI/CD ที่ทำให้ GitHub กว่า 300 โครงการตกอยู่ในความเสี่ยง ส่งผลกระทบต่อ Microsoft Google และ Apache

Sales
1 min read
จุดอ่อน Cordyceps ใน CI/CD ส่อแววเขย่าซัพพลายเชนซอฟต์แวร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Novee Security ได้เปิดเผยรูปแบบจุดอ่อนใหม่ในขั้นตอนการทำงานของ CI/CD ที่ช่วยให้ผู้โจมตีสามารถเข้ายึดเวิร์กโฟลว์และโจมตีห่วงโซ่อุปทานโอเพนซอร์สได้อย่างอิสระ จุดบกพร่องร้ายแรงนี้ถูกตั้งชื่อรหัสว่า Cordyceps ซึ่งอาจทำให้ผู้โจมตีสามารถควบคุมพื้นที่เก็บข้อมูลซอฟต์แวร์ขององค์กรขนาดใหญ่อย่าง Microsoft, Google และ Apache ได้อย่างเบ็ดเสร็จ


รูปแบบการโจมตีแบบ Cordyceps คืออะไร


Cordyceps เป็นรูปแบบช่องโหว่ที่ถูกตรวจจับโดย Novee Security ซึ่งสามารถแทรกตัวเข้าไปในกระบวนการ CI/CD ของ GitHub ได้ โดยใช้ประโยชน์จากการกำหนดค่าที่ไม่ปลอดภัยของผู้ใช้ การโจมตีจะอาศัยการฝังคำสั่งอันตรายเข้าไปในขั้นตอนใดขั้นตอนหนึ่งของระบบ CI/CD จากนั้นจะแพร่กระจายไปยังพื้นที่เก็บข้อมูลอื่น ๆ ที่เกี่ยวข้อง ทั้งนี้ผู้โจมตีสามารถส่งมัลแวร์หรือโค้ดอันตรายเข้าไปในซอฟต์แวร์ที่ผู้ใช้หลายล้านคนดาวน์โหลดไปใช้ โดยที่ผู้พัฒนาไม่รู้ตัว


องค์กรยักษ์ใหญ่ตกเป็นเป้าหมาย


รายงานชี้ว่า ช่องโหว่นี้ส่งผลกระทบต่อพื้นที่เก็บข้อมูลบน GitHub กว่า 300 แห่ง โดยหลายแห่งเป็นขององค์กรระดับโลก เช่น Microsoft, Google และ Apache ซึ่งเป็นแกนหลักของระบบนิเวศโอเพนซอร์ส การที่ผู้โจมตีสามารถควบคุมพื้นที่เก็บข้อมูลเหล่านี้ได้ หมายถึงความเสี่ยงในการแทรกซึมโค้ดอันตรายไปยังแอปพลิเคชันและบริการที่ผู้ใช้ทั่วไปใช้งานอยู่ในชีวิตประจำวัน


ผลกระทบต่อความปลอดภัยของซัพพลายเชนซอฟต์แวร์


การโจมตีผ่าน Cordyceps ถือเป็นการคุกคามรูปแบบใหม่ที่ยากต่อการตรวจจับ เนื่องจากไม่ได้โจมตีที่ตัวโค้ดโดยตรง แต่โจมตีที่กระบวนการสร้างและส่งมอบซอฟต์แวร์ ทำให้การป้องกันแบบเดิมอาจไม่เพียงพอ นักวิจัยแนะนำให้องค์กรตรวจสอบการตั้งค่า CI/CD ของตนอย่างเคร่งครัด และจำกัดสิทธิ์การเข้าถึงพื้นที่เก็บข้อมูลให้แคบที่สุด


แนวทางการป้องกันเบื้องต้น


เพื่อลดความเสี่ยงจาก Cordyceps ควรมีการนำนโยบายความปลอดภัยมาใช้ตั้งแต่ขั้นตอนการออกแบบ workflow เช่น การใช้ GitHub Actions Secrets อย่างถูกต้อง การตรวจสอบการเปลี่ยนแปลงโค้ดทุกครั้งผ่านการ review และการตั้งค่าการแจ้งเตือนเมื่อมีการกระทำที่ผิดปกติ นอกจากนี้องค์กรควรอัปเดตเครื่องมือ CI/CD ให้เป็นเวอร์ชันล่าสุดเสมอ


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINE ดูสินค้าทั้งหมด