Киберэксперт: уязвимость в GitHub может обнулить безопасность миллионов проектов
Исследователи обнаружили уязвимость (CodeQLEAKED) в инструменте статического анализа кода CodeQL, используемом на GitHub — крупнейшем веб-сервисе для хостинга IT-проектов и их совместной разработки. Ситуация усугубляется наличием готового скрипта для эксплуатации уязвимости, что делает её доступной даже для злоумышленников с невысокой квалификацией. Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», отмечает, что это подрывает все три основополагающих принципа информационной безопасности.
«В сфере информационной безопасности выделяют три ключевых принципа: конфиденциальность, целостность и доступность, — объясняет Катасонов. — Обнаруженная уязвимость ставит под угрозу все эти аспекты. Учитывая популярность GitHub, эксплуатация подобной уязвимости может стать одной из самых серьёзных угроз для множества IT-компаний и пользователей. Наличие готового скрипта для использования этой уязвимости значительно увеличивает её опасность».
Многие компании разворачивают подобные сервисы в своей внутренней инфраструктуре для анализа кода на этапе разработки. Однако при интеграции таких решений в случае уязвимости появляется брешь в системе безопасности. Для защиты интеллектуальной собственности компаниям важно внедрять цикл безопасной разработки.
«Эксплуатация данной уязвимости позволяет злоумышленникам получить доступ к конфиденциальным данным о разрабатываемом коде. Чтобы предотвратить такие инциденты, необходимо использовать комплексные средства защиты информации. Тем не менее современные злоумышленники находят всё более изощрённые способы обхода этих мер. В таких случаях необходимо использовать защищённые средства безопасной разработки, реализованные в SafeERP. В данном продукте имеются различные модули, которые предоставляют автоматизированную функциональность для анализа и обеспечения безопасности кода. Реализуются синтаксические и семантические разборы кода, что обеспечивает высокий уровень защищённости, полный контроль и безопасность при разработке», — отмечает киберэксперт.
похожие материалы
Исследователи предупредили о новой фишинговой кампании, нацеленной на клиентов сервиса
Производитель популярного менеджера паролей LastPass сообщил о новой волне фишинговых атак, направленных на пользователей его сервиса.
Исследователи проанализировали более 1 млрд украденных паролей
Компания Outpost24 опубликовала обновлённый отчёт Breached Passwords Report, основанный на анализе более 1 млрд скомпрометированных паролей, собранных из утечек данных и с помощью инфостиллеров.
Исследователи обнаружила новый модульный бэкдор ShadowRelay в инфраструктуре госсектора
Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора.
В РФ ИИ-технологии используют лишь около 10% компаний
Исследование компании Artezio совместно с Comindware и ассоциациями «Руссофт» и BPM-профессионалов фиксирует характерный для российского рынка «ИИ-парадокс»: бизнес признаёт стратегическую важность искусственного интеллекта, но не спешит переходить к внедрению.
Минцифры РФ создало рабочую группу для борьбы с противоправным использованием дипфейков
Министерство цифрового развития, связи и массовых коммуникаций России сформировало межведомственную рабочую группу, целью которой станет противодействие незаконному использованию технологий типа дипфейк.
AMD выпустила критическое обновление безопасности для процессоров и платформ
Компания AMD опубликовала новый бюллетень безопасности, в котором описаны несколько важных уязвимостей, затрагивающих процессоры и платформы AMD.
Эксперты фиксируют, что злоумышленники все чаще используют резидентные прокси
Владельцы сетей резидентных прокси используют IP-адреса, выданные пользователям интернет-провайдерами и перепродают к ним доступ злоумышленникам.
Фишинг через календарь: как Google Gemini можно использовать для атак
Исследователи по безопасности из компании Miggo рассказали о необычном способе эксплуатации уязвимости, который злоумышленники могут использовать для распространения фишинга и вредоносных ссылок - через пригласительные события в календаре, инициированные ИИ-ассистентом Google Gemini.
Группа Everest заявила о крупной атаке на McDonald’s и похищении почти 1 ТБ данных
Крупная вымогательская группировка Everest ransomware gang, ранее известная по атакам на аэропорты и другие крупные организации, объявила, что стала новым злоумышленником, нацеленным на подразделение McDonald’s в Индии.
Критическая уязвимость в Modular DS Plugin затронула более 40 000 сайтов
Исследователи по безопасности обнаружили критическую уязвимость повышения привилегий в популярном плагине Modular DS Plugin для WordPress, которой уже активно пользуются злоумышленники в реальных атаках.