Novee Security löysi Cordyceps-haavoittuvuuden CI/CD-työkaluista, joka mahdollistaa GitHub-repositorioiden kaappaamisen ja toimitusketjuun kohdistuvat hyökkäykset. Yli 300 arkistoa vaarassa.
Kyberturvallisuusasiantuntijat ovat havainneet uuden kriittisen haavoittuvuuden CI/CD-työnkuluissa, joka tunnetaan nimellä Cordyceps. Tämä haavoittuvuus mahdollistaa hyökkääjille työnkulkujen kaappaamisen ja avoimen lähdekoodin toimitusketjujen vaarantamisen. Ongelma, jonka Novee Security on nimennyt, voi antaa hyökkääjille täyden hallinnan arkistoihin suurimmissa organisaatioissa ympäri maailmaa, mukaan lukien Microsoft, Google ja Apache. Nämä löydökset korostavat syvällisten riskien olemassaoloa nykyaikaisissa kehitysympäristöissä, joissa automaatio on keskeisessä roolissa.
Havainnot paljastavat, että hyökkääjät voivat mahdollisesti lisätä haitallista koodia suoraan olemassa oleviin työnkulkuihin, mikä vaikeuttaa sen havaitsemista perinteisillä suojausmenetelmillä. Tämä avaa oven toimitusketjuun kohdistuville hyökkäyksille, joissa haavoittuva koodi levitetään laajalti ja saastuttaa lopulta monia eri järjestelmiä. Haavoittuvuuden luonne tekee siitä erityisen vaarallisen, koska se vaikuttaa suoraan luotettuihin kehitysprosesseihin.
Novee Securityn mukaan löydetty haavoittuvuuspatteri voi vaikuttaa jopa yli 300 GitHub-repositorioon, jotka ovat kriittisiä avoimen lähdekoodin projekteille ja laajalle levinneille ohjelmistoille. Tämä tarkoittaa, että hyökkääjät voisivat käyttää näitä kaapattuja repositoreita jakelukanavina haitallisille päivityksille tai suorittamaan muita järjestelmällisiä hyökkäyksiä. Suuri määrä vaarantuneita arkistoja lisää leviämisriskiä merkittävästi.
Tilanne vaatii välittömiä toimenpiteitä kaikilta organisaatioilta, jotka käyttävät CI/CD-prosesseja ja ylläpitävät arkistoja alustoilla kuten GitHub. On ensiarvoisen tärkeää tarkistaa omat työnkulkujen konfiguraatiot ja varmistaa, että ne ovat asianmukaisesti suojattuja tuntemattomia tai vahvistamattomia ulkoisia syötteitä vastaan. Kehitysympäristöjen jatkuva valvonta ja turvallisuuskäytäntöjen päivittäminen ovat välttämättömiä tällaisten uhkien torjumiseksi tulevaisuudessa.
Tärkeimmät pointit
- Uusi 'Cordyceps'-luokiteltu haavoittuvuus CI/CD-työnkuluissa mahdollistaa hyökkääjille repositorion hallinnan kaappaamisen.
- Löydös voi vaarantaa avoimen lähdekoodin toimitusketjut mahdollistamalla haitallisen koodin lisäämisen hyväksyttyihin työnkulkuihin.
- Haavoittuvuus voi vaikuttaa jopa yli 300 GitHub-arkistoon, jotka ovat käytössä useissa suurissa teknologiayrityksissä.
- Potentiaalisesti vaarantuneiden organisaatioiden joukossa mainitaan Microsoft, Google ja Apache.
- Hyökkääjät voivat käyttää kaapattuja arkistoja haitallisten päivitysten levittämiseen tai muihin hyökkäyksiin.
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 24.6.2026
