Uma vulnerabilidade crítica de execução de código remoto no coderabbit, uma das ferramentas de revisão de código mais populares do Github, poderia ter permitido que os atacantes obtivessem leitura e escreva acesso a mais de um milhão de repositórios de código, incluindo os privados, de acordo com pesquisadores de segurança da Kudelski Security que divulgaram a falha no Black Hat USA 2024.
A falha de segurança permitiu que os invasores atingissem a execução de código remoto nos servidores de produção da Coderabbit, os tokens e segredos da API de vazamento, acesse potencialmente o banco de dados PostGresql da empresa e obtenha Acesso não autorizado para repositórios de código público e privado.
O coderabbit serve como uma plataforma de revisão de código assistida por AA com penetração significativa no mercado, com mais de um milhão de repositórios em revisão e cinco milhões de solicitações de tração analisadas.
O Coderabbit detém a distinção de ser o aplicativo de AI mais instalado no GitHub Marketplace e está entre as principais instalações em todas as categorias.
A plataforma analisa automaticamente as alterações de código nas solicitações de tração e fornece revisões geradas pela IA, tornando-a uma valiosa ferramenta de produtividade do desenvolvedor para resumir o PRS, identificar problemas de segurança e sugerir melhorias de código.
Detalhes da exploração técnica
A vulnerabilidade explorou a integração do coderabbit com ferramentas de análise estática externa, direcionando -se especificamente a Rubocop, um analisador estático de rubi.
Pesquisadores descoberto Esse coderabbit executaria automaticamente essas ferramentas em solicitações de tração contendo tipos de arquivos relevantes, com o Rubocop configurado para executar em arquivos Ruby quando o arquivo A.rubocop.ymlConfiguration estava presente no repositório.
O vetor de ataque envolveu a criação de uma solicitação de tração maliciosa contendo um criado.
Este arquivo de extensão pode executar o código arbitrário, incluindo comandos para exfiltrar variáveis de ambiente contendo tokens e segredos sensíveis aos servidores controlados por atacantes.
O processo de exploração exigiu um esforço mínimo: os invasores precisavam apenas para obter acesso ao coderabbit, criar um repositório com os arquivos de configuração maliciosos e aguarde o processo de revisão de código automatizado para executar sua carga útil.
O coderabbit demonstrou resposta de incidentes exemplares após a divulgação de vulnerabilidades em janeiro de 2025.
Poucas horas após a notificação, a empresa desativou a funcionalidade Rubocop, girou todas as credenciais e segredos potencialmente comprometidos e implantou uma correção permanente que realocou operações de Rubocop em seus seguros Sandbox ambiente.
A empresa conduziu uma auditoria abrangente de segurança, implementou mecanismos automatizados de fiscalização de caixa de areia e estabeleceu portões de implantação endurecidos para evitar vulnerabilidades semelhantes.
O coderabbit documentou publicamente seus esforços de resposta e remediação, demonstrando transparência em suas práticas de segurança.
Este incidente destaca os desafios de segurança inerentes às ferramentas de desenvolvimento movidas a IA que se integram a vários sistemas externos.
A vulnerabilidade ressalta a importância da execução de ferramentas de terceiros e implementando controles de segurança robustos em torno das plataformas de análise de código automatizadas que lidam com dados de repositório sensível.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!