Thought Leadership
Automatisierte Entwicklungsprozesse gelten als Grundlage moderner Softwareentwicklung. Doch genau diese Systeme können auch zur Schwachstelle werden.
Sicherheitsforscher des Unternehmens JFrog haben in bekannten GitHub-Repositories insgesamt 13 Sicherheitslücken entdeckt, darunter zehn mit kritischer Einstufung.
Die Schwachstellen wurden mithilfe eines KI-gestützten Sicherheitsbots namens RepoHunter identifiziert. Das Tool analysiert CI/CD-Workflows automatisiert und erkennt potenziell gefährliche Muster, die von Angreifern ausgenutzt werden könnten.
Angriffe über sogenannte „Pwn Requests“
Die entdeckten Sicherheitsprobleme stehen im Zusammenhang mit einer Angriffstechnik, die als „Pwn Requests“ bezeichnet wird. Dabei manipulieren Angreifer Pull-Requests in Open-Source-Projekten, um Zugriff auf vertrauliche Informationen innerhalb der Build- und Entwicklungsprozesse zu erhalten.
Betroffen waren unter anderem bekannte Projekte wie die Automatisierungssoftware Ansible sowie QGIS, ein weit verbreitetes Werkzeug für Kartierung und Geodatenanalyse, das häufig von Behörden genutzt wird. Beide Plattformen spielen in vielen Organisationen eine zentrale Rolle und werden von zahlreichen Unternehmen und Institutionen eingesetzt.
CI/CD-Pipelines als attraktives Angriffsziel
Continuous-Integration- und Continuous-Delivery-Pipelines bilden heute das Rückgrat moderner Softwareentwicklung. Sie automatisieren den Weg vom Code-Commit bis zur Bereitstellung und ermöglichen es Teams, neue Funktionen schneller zu veröffentlichen.
Gerade diese zentrale Rolle macht sie jedoch für Cyberangreifer besonders interessant. Wer eine Build-Pipeline kompromittiert, kann unter Umständen direkten Zugriff auf sensible Daten erhalten oder Schadcode in Softwarepakete einschleusen.
Shachar Menashe, Vice President of Security Research bei JFrog, beschreibt die Entwicklung so: „Die 13 identifizierten „Pwn Request“-Schwachstellen zeigen, dass sich Angriffe zunehmend von direkten Attacken auf Paketmanager hin zum Hijacking von Build- und Entwicklungs-Pipelines verlagern.“
Gefahr für Cloud-Zugänge und Signaturschlüssel
Durch manipulierte Pull-Requests könnten Angreifer an besonders sensible Daten gelangen. Dazu zählen etwa Cloud-Zugangsdaten, Signaturschlüssel oder Tokens für automatisierte Bereitstellungen. Mit solchen Informationen lassen sich Softwareprojekte kompromittieren und anschließend Schadcode in die Lieferkette einschleusen.
Die potenziellen Folgen reichen weit über einzelne Projekte hinaus. Ein erfolgreich kompromittiertes Open-Source-Repository kann zahlreiche nachgelagerte Systeme betreffen, da viele Unternehmen auf dieselben Softwarebibliotheken und Frameworks zurückgreifen.
Breites Spektrum betroffener Projekte
Die Sicherheitsforscher entdeckten Schwachstellen in verschiedenen Bereichen der Softwareentwicklung. Dazu gehören Entwickler-Frameworks, Programmiersprachen-Toolchains sowie KI-Frameworks.
In Ansible hätte eine der Lücken die Kompromittierung von 29 Softwarepaketen ermöglicht, die zusammen monatlich Millionen Downloads verzeichnen. Auch KI-Komponenten wie Xorbitsai und Tencent/ncnn, die in mobilen Zahlungssystemen eingesetzt werden, waren betroffen.
Weitere Schwachstellen wurden in Projekten wie Eclipse Theia, Petgraph für Rust, sdkman, telepresence sowie im Geodatenprojekt QGIS identifiziert und anschließend behoben.
KI verändert auch die Angriffsgeschwindigkeit
Laut JFrog zeigt die Analyse auch, wie stark sich die Bedrohungslage verändert hat. KI-gestützte Tools können sowohl von Angreifern als auch von Sicherheitsforschern genutzt werden.
Shachar Menashe weist darauf hin, dass sich dadurch der Zeitaufwand für Angriffe drastisch verkürzt: „Angriffe, für deren Vorbereitung Bedrohungsakteure früher Monate benötigten, können heute innerhalb weniger Tage ausgeführt werden.“
Die Entdeckung der Schwachstellen verdeutlicht, wie wichtig die Absicherung automatisierter Entwicklungsprozesse geworden ist. CI/CD-Pipelines beschleunigen die Softwareentwicklung, schaffen aber zugleich neue Angriffsmöglichkeiten.
KI-basierte Sicherheitswerkzeuge wie RepoHunter könnten künftig eine wichtige Rolle spielen, um gefährliche Workflow-Muster frühzeitig zu erkennen und die Integrität globaler Software-Lieferketten zu schützen.
