Уразливість до відмови в обслуговуванні виявлено в бібліотеках, які використовуються GitHub та іншими
Перегляньте всі сеанси Smart Security Summit за запитом тут.
На відміну від зловмисників, націлених на конфіденційні дані або атак програм-вимагачів, експлойти на відмову в обслуговуванні (DoS) спрямовані на припинення роботи служб і їх повну недоступність.
За останній час відбулося кілька таких атак; Наприклад, у червні минулого року Google заблокував найбільшу розподілену атаку на відмову в обслуговуванні (DDoS) в історії. Потім Акамі побив цей рекорд у вересні, коли виявив і пом’якшив напад у Європі.
Останньою розробкою Legit Security сьогодні оголосила про виявлення легкої для використання вразливості DoS у бібліотеках уцінки, які використовуються GitHub, GitLab та іншими програмами, використовуючи популярну службу рендерингу уцінки під назвою commonmarker.
«Уявіть, що GitHub не працює на деякий час», — сказав Ляв Каспі, співзасновник і технічний директор платформи безпеки ланцюга поставок програмного забезпечення. «Це може стати серйозним глобальним збоєм і закрити більшість магазинів розробки програмного забезпечення. Наслідки, ймовірно, будуть безпрецедентними».
ПодіяСаміт Smart Security за запитом
Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та практичні приклади для окремих галузей. Дивіться сеанси за запитом сьогодні.
ПослухайтеGitHub, який не відповів на запити VentureBeat про коментарі, опублікував офіційне підтвердження та виправлення.
Мета відмови в обслуговуванні: зривDoS і DDoS перевантажують веб-сервер або програму з метою переривання служб.
Як описує це Fortinet, DoS робить це, переповнюючи сервер трафіком і роблячи веб-сайт або ресурс недоступними; DDoS використовує кілька комп’ютерів або машин для затоплення цільового ресурсу.
І, без сумніву, вони справді сильно зростають. Cisco відзначила зростання кількості атак зі швидкістю від 100 до 400 гігабіт на секунду на 776% у порівнянні з минулим роком між 2018 і 2019 роками. За оцінками компанії, загальна кількість DDoS-атак подвоїться з 7,9 мільйонів у 2018 році до 15,4 мільйонів цього року.
Але хоча DDoS-атаки не завжди спрямовані на позначення конфіденційних даних або сплату чималих викупів, вони, тим не менш, дорогі. За даними дослідження Gartner, середня вартість простою ІТ становить 5600 доларів США за хвилину. Залежно від розміру організації вартість простою може становити від 140 000 до 5 мільйонів доларів США на годину.
І через таку кількість програм із відкритим вихідним кодом (97% за однією оцінкою) організації не мають повної видимості свого стану безпеки, а також потенційних недоліків і вразливостей.
...
Перегляньте всі сеанси Smart Security Summit за запитом тут.
На відміну від зловмисників, націлених на конфіденційні дані або атак програм-вимагачів, експлойти на відмову в обслуговуванні (DoS) спрямовані на припинення роботи служб і їх повну недоступність.
За останній час відбулося кілька таких атак; Наприклад, у червні минулого року Google заблокував найбільшу розподілену атаку на відмову в обслуговуванні (DDoS) в історії. Потім Акамі побив цей рекорд у вересні, коли виявив і пом’якшив напад у Європі.
Останньою розробкою Legit Security сьогодні оголосила про виявлення легкої для використання вразливості DoS у бібліотеках уцінки, які використовуються GitHub, GitLab та іншими програмами, використовуючи популярну службу рендерингу уцінки під назвою commonmarker.
«Уявіть, що GitHub не працює на деякий час», — сказав Ляв Каспі, співзасновник і технічний директор платформи безпеки ланцюга поставок програмного забезпечення. «Це може стати серйозним глобальним збоєм і закрити більшість магазинів розробки програмного забезпечення. Наслідки, ймовірно, будуть безпрецедентними».
ПодіяСаміт Smart Security за запитом
Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та практичні приклади для окремих галузей. Дивіться сеанси за запитом сьогодні.
ПослухайтеGitHub, який не відповів на запити VentureBeat про коментарі, опублікував офіційне підтвердження та виправлення.
Мета відмови в обслуговуванні: зривDoS і DDoS перевантажують веб-сервер або програму з метою переривання служб.
Як описує це Fortinet, DoS робить це, переповнюючи сервер трафіком і роблячи веб-сайт або ресурс недоступними; DDoS використовує кілька комп’ютерів або машин для затоплення цільового ресурсу.
І, без сумніву, вони справді сильно зростають. Cisco відзначила зростання кількості атак зі швидкістю від 100 до 400 гігабіт на секунду на 776% у порівнянні з минулим роком між 2018 і 2019 роками. За оцінками компанії, загальна кількість DDoS-атак подвоїться з 7,9 мільйонів у 2018 році до 15,4 мільйонів цього року.
Але хоча DDoS-атаки не завжди спрямовані на позначення конфіденційних даних або сплату чималих викупів, вони, тим не менш, дорогі. За даними дослідження Gartner, середня вартість простою ІТ становить 5600 доларів США за хвилину. Залежно від розміру організації вартість простою може становити від 140 000 до 5 мільйонів доларів США на годину.
І через таку кількість програм із відкритим вихідним кодом (97% за однією оцінкою) організації не мають повної видимості свого стану безпеки, а також потенційних недоліків і вразливостей.
...What's Your Reaction?
