Integración continua y entrega continua. (CI/CD) Las configuraciones erróneas descubiertas dentro del marco de aprendizaje automático TensorFlow, ampliamente utilizado, generan preocupación sobre posibles ataques a la cadena de suministro..
Vulnerabilidades de TensorFlow y riesgo de ataques a la cadena de suministro
Los investigadores de Praetorian Adnan Khan y John Stawinski destacaron vulnerabilidades que podrían haber permitido a los atacantes comprometer las versiones de TensorFlow en GitHub y PyPi manipulando los agentes de compilación de TensorFlow a través de una solicitud de extracción maliciosa..
La explotación de estas configuraciones erróneas podría haber permitido a atacantes externos cargar versiones maliciosas en el repositorio de GitHub., lograr ejecución remota de código en el ejecutor de GitHub autohospedado, e incluso obtener un token de acceso personal de GitHub (PALMADITA) para el usuario de tensorflow-jenkins.
TensorFlow utiliza GitHub Actions para automatizar la creación de su software, prueba, y canalización de implementación, con corredores ejecutando trabajos en el flujo de trabajo. La documentación de GitHub enfatiza el uso de ejecutores autohospedados con repositorios privados debido a los posibles riesgos de seguridad asociados con las bifurcaciones públicas..
El problema identificado permitió que cualquier colaborador ejecutara código arbitrario en el ejecutor autohospedado enviando una solicitud de extracción maliciosa.. Praetorian identificó flujos de trabajo de TensorFlow ejecutados en corredores autohospedados, revelando que las solicitudes de extracción de bifurcaciones de contribuyentes anteriores activaron automáticamente flujos de trabajo de CI/CD sin requerir aprobación.
Una investigación adicional expuso corredores autohospedados no efímeros con amplios permisos GITHUB_TOKEN, permitir a un atacante cargar lanzamientos, enviar código directamente al repositorio de TensorFlow, y comprometer el secreto del repositorio JENKINS_TOKEN.
La divulgación llevó a los mantenedores del proyecto de TensorFlow a implementar medidas de seguridad cruciales al exigir la aprobación de todos los flujos de trabajo desde solicitudes de extracción de bifurcaciones y restringir los permisos GITHUB_TOKEN a solo lectura para los flujos de trabajo que se ejecutan en ejecutores autohospedados.. Estos cambios, implementado en diciembre 20, 2023, destinado a mejorar la seguridad y evitar el acceso no autorizado.
Pensamientos concluyentes
Este incidente muestra la creciente amenaza de ataques CI/CD, impactando particularmente a las empresas de IA/ML que dependen de una potencia informática significativa. A medida que más organizaciones automatizan sus procesos de CI/CD, medidas de seguridad estrictas se vuelven imprescindibles para proteger contra posibles vulnerabilidades.
Adicionalmente, Los investigadores también revelaron vulnerabilidades en otros repositorios públicos de GitHub., incluidos aquellos asociados con Chia Networks, Velocidad profunda de Microsoft, y PyTorch, Reforzar la necesidad de evaluaciones de seguridad continuas en el panorama cambiante del desarrollo y la implementación de software..