ابزار CI، پاشنه آشیل امنیت شرکت‌‎ها

ابزار CI، پاشنه آشیل امنیت شرکت‌‎ها

همکاران سیستم – تحقیقات نشان می‌دهد برخی از رایج‌ترین نرم‌افزارهای خودکار ایجاد (building) و تست که مورد استفاده توسعه‌گران است، فاقد قابلیت‌های امنیتی بوده و راه را برای ورود هکرها به شبکه سازمانی باز می‌کند.

در برنامه‌نویسی این فرایند، اصطلاحاً CI (Continuous Integration) نام دارد و آن را به اسم «یکپارچه‌سازی مداوم» می‌شناسند. در واقع «ابزارهای یکپارچه‌سازی و ارزیابی کیفی نرم‌افزارها» روشی مبتنی بر build کردن مداوم پروژه پس از هر تغییر در کد توسط برنامه‌نویسان است، و این عمل باعث حفظ انسجام و یکپارچگی کدها می‌شود.
توسعه‌گران با CI می‌توانند به طور خودکار برنامه‌ها را تست کنند.

به گزارش InfoWorld، یک پژوهشگر امنیت و آزمونگر نفوذ به نام Nikhil Mittal می‌گوید هکرها با دسترسی پیدا کردن به سرور اصلی CI می‌توانند منبع کد اولیه را به سرقت برده و دستورات مورد نظر خود را در تمام ماشین‌های فرعی سیستم اجرا نمایند.  این بدان جهت است که اغلب ابزارهای CI به گونه‌ای هستند که پیکربندی پیش‌فرض آنها ناامن بوده و برخی کاربران معمولی هم می‌توانند دستورات پاورشل (PowerShell) را بر آنها اجرا نمایند.

وی این مطلب را در جریان نشست Black Hat Europe که چندی پیش در آمستردام برگزار شد اعلامکرد. Nikhil Mittal که سه ابزار CI متن باز به نام‌های Jenkins، CruiseControl و Go و نیز دو ابزار غیرمتن باز به اسامی TeamCity و Hudson را مورد تست و آزمون قرار داده است، دریافت که این برنامه‌ها به طور پیش‌فرض فاقد امنیت بوده و همه آنها در معرض دستکاری هکرها قرار دارند.

وی در بررسی‌های خود متوجه شد که ابزار CI یک سری مشکلات رایج و مشترک دارند که از آن جمله می‌توان به این موارد اشاره کرد: پیکربندی پیش‌فرض ناامن، نبود کنترل‌های امنیتی، امکان اجرای دستورات و اسکریپت‌ها در سیستم عامل توسط کاربران فاقد حق مدیریت (non-administrative users)، امکان حذف و از کار انداختن تمام تمهیدات امنیتی در صورتی که عامل انجام‌دهنده فرایند build بر سرور اصلی فعالیت داشته باشد.

این پژوهشگر برای محافظت از سیستم‌ها و حل مشکلات فوق توصیه‌هایی دارد که برخی از آنها به این شرح است: محدود کردن دسترسی کاربرانی که می‌توانند مراحل build را پیکربندی کنند، ایمن ساختن داشبورد ادمین، متصل ننمودن ابزار CI به اینترنت مگر در واقع بسیار ضروری و عدم ارائه حق خواندن (read) به کاربران ناشناس.

متن کامل این پژوهش را می‌توانید  ایـنـجـا مطالعه کنید.

دیدگاه خود را ثبت کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *