Integrazione continua e distribuzione continua (CI/CD) le configurazioni errate scoperte all’interno del framework di machine learning TensorFlow ampiamente utilizzato sollevano preoccupazioni su potenziali attacchi alla catena di fornitura.
Vulnerabilità di TensorFlow e rischio di attacchi alla catena di fornitura
I ricercatori Praetorian Adnan Khan e John Stawinski hanno evidenziato vulnerabilità che avrebbero potuto consentire agli aggressori di compromettere le versioni di TensorFlow su GitHub e PyPi manipolando gli agenti di build di TensorFlow tramite una richiesta pull dannosa.
Lo sfruttamento di queste configurazioni errate avrebbe potuto consentire ad aggressori esterni di caricare versioni dannose nel repository GitHub, raggiungere esecuzione di codice remoto sul runner GitHub ospitato autonomamente, e persino ottenere un token di accesso personale GitHub (COLPETTO) per l'utente tensorflow-jenkins.
TensorFlow utilizza GitHub Actions per automatizzare la creazione del software, test, e pipeline di distribuzione, con i corridori che eseguono lavori nel flusso di lavoro. La documentazione di GitHub enfatizza l'uso di corridori self-hosted con repository privati a causa dei potenziali rischi per la sicurezza associati ai fork pubblici.
Il problema identificato consentiva a qualsiasi collaboratore di eseguire codice arbitrario sul runner self-hosted inviando una richiesta pull dannosa. Praetorian ha identificato flussi di lavoro TensorFlow eseguiti su corridori self-hosted, rivelando che le richieste di fork pull dei contributori precedenti attivavano automaticamente flussi di lavoro CI/CD senza richiedere l'approvazione.
Ulteriori indagini hanno rivelato corridori self-hosted non temporanei con ampie autorizzazioni GITHUB_TOKEN, consentendo a un utente malintenzionato di caricare versioni, invia il codice direttamente al repository TensorFlow, e compromettere il segreto del repository JENKINS_TOKEN.
La divulgazione ha spinto i manutentori del progetto TensorFlow a implementare misure di sicurezza cruciali richiedendo l'approvazione per tutti i flussi di lavoro dalle richieste fork pull e limitando le autorizzazioni GITHUB_TOKEN alla sola lettura per i flussi di lavoro in esecuzione su corridori self-hosted. Questi cambiamenti, implementato entro dicembre 20, 2023, mirato a migliorare la sicurezza e impedire l’accesso non autorizzato.
Pensieri conclusive
Questo incidente mostra la crescente minaccia degli attacchi CI/CD, hanno un impatto particolare sulle aziende di IA/ML che fanno affidamento su una notevole potenza di calcolo. Poiché sempre più organizzazioni automatizzano i propri processi CI/CD, misure di sicurezza rigorose diventano indispensabili per proteggersi da potenziali vulnerabilità.
In aggiunta, i ricercatori hanno anche rivelato vulnerabilità in altri repository GitHub pubblici, compresi quelli associati a Chia Networks, Microsoft DeepSpeed, e PyTorch, rafforzando la necessità di valutazioni continue della sicurezza nel panorama in evoluzione dello sviluppo e dell’implementazione del software.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: