ผู้เชี่ยวชาญจาก Trend Micro ได้ออกมาแสดงให้เห็นว่า ทำอย่างไรที่ผู้ไม่ประสงค์ดีสามารถใช้ GitHub Codespaces ทำ ‘Port forwarding’ ไปยัง Host และกระจาย Malware scripts ได้ โดย GitHub Codespaces จะอนุญาติให้ผู้พัฒนา ติดตั้ง Cloud-hosted IDE platform ใน Virtualized containers เพื่อ เขียน, แก้ไข, และ test/run code ได้โดยตรง บน web browser
GitHub Codespaces ตั้งแต่เป็นที่แพร่หลายใน เดือนพฤศจิกายน 2022 ได้เป็นตัวเลือกที่นิยมของผู้พัฒนาในการใช้ Pre-configured, ทรัพยากร Container-base ที่พร้อมใช้ และ Tools ที่สำคัญสำหรับการทำ Project ของผู้พัฒนา
การใช้ Github Codespaces ในการแพร่ malware
ผู้เชี่ยวชาญจาก Trend
Micro ออกมาเผยว่า ทำอย่างไร GitHub Codespaces จะสามารถแก้ไข Web server ให้ใช้กระจาย
เนื้อหาที่เป็นอันตรายได้ และอาจจะสามารถหลีกเลี่ยงการตรวจพบจากการป้องกันได้ เนื่องจากมาจาก
Microsoft ที่มีความน่าเชื่อถือ
GitHub Codespaces อนุญาติให้ผู้พัฒนา Forward TCP ports เพื่อให้ผู้ใช้ภายนอกสามารถเข้ามา Test หรือเข้าดู Applications ได้ เมื่อ Forwarding ports ใน Codespeces VM ตัว GitHub จะ generate URL เพื่อให้ App ใช้งานได้บน port นั้น ๆ ซึ่งสามารถเลือกได้ว่าจะตั้ง เป็นส่วนตัว หรือสาธารณะ ซึ้อถ้าเป็น Private port forward จะต้องการการยืนยันตัวตน ในรูปแบบของ Token หรือ Cookies เพื่อเข้า URL แต่ถ้าเป็น Public port ไม่ว่าใครก็สามารถเข้าถึงได้ เพียงแค่รู้ URL โดยไม่ต้องการการยืนยันตัวตนเลย
GitHub พยายามให้ผู้พัฒนายืดหยุ่นในการเปิดเผย code แต่ Trend Micro กล่าวว่า ผู้โจมตี ก็สามารถนำมาใช้ในการที่ผิด เพื่อแพร่ malware ได้เช่นกัน
ในทางทฤษฎีแล้ว ผู้โจมตีสามารถสามารถเปิดใช้ Python web server ได้โดยง่าย ด้วยการ upload scrip หรือ malware ที่เป็นอันตราย ไปยัง Codespece แล้วเปิด web server port บน VM จากนั้นเปลี่ยนการมองเห็นเป็น public และ generate URL ที่สามารถเข้าใช้ hosted files ไม่ว่าจะใช้เพื่อ Phishing หรือ เรียกใช้ malware อื่นๆ ซึ่งเป็นวิธีที่ผู้ไม่ประสงค์ดีใช้ในการโจมตี service ที่น่าเชื่อถือเช่น Google Cloud, Amazon AWS และ Microsoft Azure สำหรับแพร่ Malware
ผู้เชี่ยวชาญได้กล่าวว่า ในขณะที่ใช้ HTTP เดิมใน Codespaces port-forwarding system ผู้พัฒนาสามารถตั้งค่า HTTPS หลอกระบบรักษาความปลอดภัยได้จาก URL เพราะ GitHub เป็นแหล่งที่เน่าเชื่อถือ จึงมีโอกาสน้อยที่ Antivirus จะแจ้งเตือน ทำให้ผู้ไม่ประสงค์ดีสามารถหลีกเลี่ยงการตรวจจับได้
.webp)
ผู้เชี่ยวชาญจาก Trend Micro สำรวจการใช้ Dev Containers ใน GitHub Codespaces ในการคุกคามด้วย Malware ซึ่งผู้โจมตีสามารถใช้ script forward port เพื่อเรียกใช้ Python HTTP server และดาวน์โหลด ไฟล์ที่เป็นอันตรายที่อยู่ใน Codespace จากนั้นตั้งเปิด port เป็นสาธารณะ และสร้าง webserver ที่สามารถส่งไฟล์ที่เป็นอันตรายไปยังเป้าหมายได้
แม้ตอนนี้ยังไม่มีการใช้ GitHub Codespaces ในทางที่ผิด แต่รายงานเหล่านี้ก็แสดงให้เห็นถึงความเป็นไปได้ เนื่องจากผู้ไม่ประสงค์ดีมักมีเป้าหมายไปที่ platform ที่ใช้งานได้ฟรี และได้รับความเชื่อถือจากการรักษาความปลอดภัย ล่าสุดทาง GitHub ได้แนะนำให้ผู้ใช้ได้ปฏิบัติตามกฏการใช้งาน เพื่อความปลอดภัย
ไม่มีความคิดเห็น:
แสดงความคิดเห็น