今回は、開発の要であるCI/CDパイプラインをターゲットにしたセキュリティリサーチを読み解きます。Dependabotの自動マージの設定不備を突いた攻撃手法やCI/CD環境の正規ツールでの任意コード実行手法など、CIで様々な任意コード実行されるパターンについて話しました。📝 今回のトピック オープニング Google Cloud Build コメント機能のレースコンディション Dependabot 自動マージのバイパス Terraform State改ざんによる権限昇格リスクとコード実行 CI/CD環境の正規ツールが攻撃に悪用される脅威 エンディング📚 参照・紹介した記事/サイト・Who's SHA is it Anyway: Bypassing Google Cloud Build Comment Control for $30,000https://adnanthekhan.com/posts/cloud-build-toctou/・GITHUB ACTIONS EXPLOITATION: DEPENDABOThttps://www.synacktiv.com/publications/github-actions-exploitation-dependabot・Hacking Terraform State for Privilege Escalationhttps://plerion.com/blog/hacking-terraform-state-for-privilege-escalation・Living Off The Pipeline (LOTP)https://boostsecurityio.github.io/lotp/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。
感想
まだ感想はありません。最初の1件を書きましょう!