Kontinuerlig integration og kontinuerlig levering (CI/CD) fejlkonfigurationer opdaget inden for den meget udbredte TensorFlow maskinlæringsramme giver anledning til bekymring over potentielle forsyningskædeangreb.
TensorFlow-sårbarheder og risikoen for forsyningskædeangreb
Prætorianske forskere Adnan Khan og John Stawinski fremhævede sårbarheder, der kunne have gjort det muligt for angribere at kompromittere TensorFlow-udgivelser på GitHub og PyPi ved at manipulere TensorFlows build-agenter gennem en ondsindet pull-anmodning.
Udnyttelse af disse fejlkonfigurationer kunne have gjort det muligt for eksterne angribere at uploade ondsindede udgivelser til GitHub-lageret, opnå fjernkørsel af programkode på den selvværtede GitHub-løber, og få endda et GitHub Personal Access Token (KLAPPE) for tensorflow-jenkins-brugeren.
TensorFlow bruger GitHub Actions til at automatisere sin software build, prøve, og implementeringspipeline, med løbere, der udfører job i arbejdsgangen. GitHubs dokumentation understreger brugen af selv-hostede løbere med private depoter på grund af potentielle sikkerhedsrisici forbundet med offentlige gafler.
Det identificerede problem tillod enhver bidragyder at udføre vilkårlig kode på den selv-hostede løber ved at indsende en ondsindet pull-anmodning. Praetorian identificerede TensorFlow-arbejdsgange udført på selv-hostede løbere, afslører, at gaffeltræk-anmodninger fra tidligere bidragydere automatisk udløste CI/CD-arbejdsgange uden at kræve godkendelse.
Yderligere undersøgelser afslørede ikke-efemere selv-hostede løbere med omfattende GITHUB_TOKEN-tilladelser, tillader en angriber at uploade udgivelser, push kode direkte til TensorFlow repository, og kompromittere JENKINS_TOKEN-lagerhemmeligheden.
Afsløringen fik TensorFlows projektvedligeholdere til at implementere afgørende sikkerhedsforanstaltninger ved at kræve godkendelse af alle arbejdsgange fra gaffeltræk-anmodninger og begrænse GITHUB_TOKEN-tilladelser til skrivebeskyttet for arbejdsgange, der kører på selv-hostede løbere. Disse ændringer, implementeret i december 20, 2023, har til formål at øge sikkerheden og forhindre uautoriseret adgang.
afgørende Tanker
Denne hændelse viser den stigende trussel om CI/CD-angreb, især påvirker AI/ML-virksomheder, der er afhængige af betydelig computerkraft. Da flere organisationer automatiserer deres CI/CD-processer, strenge sikkerhedsforanstaltninger bliver bydende nødvendigt for at beskytte mod potentielle sårbarheder.
Desuden, forskerne afslørede også sårbarheder i andre offentlige GitHub-depoter, herunder dem, der er tilknyttet Chia Networks, Microsoft DeepSpeed, og PyTorch, forstærker behovet for løbende sikkerhedsvurderinger i udviklingen af softwareudvikling og -implementering.