継続的インテグレーションと継続的デリバリー (CI/CD) 広く使用されている TensorFlow 機械学習フレームワーク内で発見された構成ミスにより、潜在的なサプライ チェーン攻撃に対する懸念が生じています.
TensorFlow の脆弱性とサプライ チェーン攻撃のリスク
プレトリアン研究者の Adnan Khan 氏と John Stawinski 氏は、悪意のあるプル リクエストを通じて TensorFlow のビルド エージェントを操作することで、攻撃者が GitHub および PyPi 上の TensorFlow リリースを侵害できる可能性がある脆弱性を強調しました。.
これらの構成ミスを悪用すると、外部の攻撃者が悪意のあるリリースを GitHub リポジトリにアップロードできる可能性があります。, 成し遂げる リモートコード実行 自己ホスト型 GitHub ランナー上で, GitHub Personal Access Token も取得できます (パット) tensorflow-jenkins ユーザー向け.
TensorFlow は GitHub Actions を利用してソフトウェアのビルドを自動化します, テスト, および展開パイプライン, ワークフロー内でジョブを実行するランナー. GitHub のドキュメントでは、パブリック フォークに関連する潜在的なセキュリティ リスクのため、プライベート リポジトリでセルフホスト ランナーを使用することを強調しています。.
特定された問題により、投稿者は悪意のあるプル リクエストを送信することにより、自己ホスト型ランナー上で任意のコードを実行することができました。. Praetorian は、自己ホスト型ランナーで実行される TensorFlow ワークフローを特定しました, 以前のコントリビューターからのフォーク プル リクエストが、承認を必要とせずに自動的に CI/CD ワークフローをトリガーしたことを明らかにしました。.
さらなる調査により、広範な GITHUB_TOKEN 権限を持つ非一時的な自己ホスト ランナーが明らかになりました, 攻撃者によるリリースのアップロードを許可する, コードを TensorFlow リポジトリに直接プッシュします, JENKINS_TOKEN リポジトリの秘密を侵害する.
この開示により、TensorFlow のプロジェクト管理者は、フォーク プル リクエストからのすべてのワークフローに承認を要求し、セルフホスト ランナーで実行されるワークフローに対して GITHUB_TOKEN 権限を読み取り専用に制限することにより、重要なセキュリティ対策を実装することになりました。. これらの変更, 12月までに実装される 20, 2023, セキュリティを強化し、不正アクセスを防止することを目的としています.
決定的な考え
このインシデントは、CI/CD 攻撃の脅威の増大を示しています, 特に大きなコンピューティング能力に依存する AI/ML 企業に影響を与える. CI/CD プロセスを自動化する組織が増えているため、, 潜在的な脆弱性から保護するには、厳格なセキュリティ対策が不可欠になります.
加えて, 研究者らは、他のパブリック GitHub リポジトリの脆弱性も明らかにしました, Chia Networks に関連するものを含む, マイクロソフトディープスピード, と PyTorch, ソフトウェア開発と展開の進化する状況において、継続的なセキュリティ評価の必要性が強化されています.