Ihre CI-Pipeline wird zum Angriffsvektor
Eine kompromittierte CI/CD-Pipeline verwandelt sich in einen Remote-Code-Execution-Vektor, sobald ein Angreifer einen Workflow modifiziert oder fest verankerte Abhängigkeiten umgeht. Das Transkript verdeutlicht, dass CI/CD-Systeme effektiv als YAML-Dateien fungieren, die beliebige Bash-Skripts auf Drittanbieter-Runnern ausführen, wobei häufig über OpenID Connect oder Vaults injizierte Geheimnisse enthalten sind. Sobald Code im Speicher ausgeführt wird, können Angreifer diesen Speicher dumpen, um zu pivotieren und die volle Kontrolle zu erlangen, was Sicherheits-Pinning gegen Workflow-Modifikationen wirkungslos macht. Diese Architektur verwandelt den Build-Prozess in einen direkten Eintrittspunkt für eine vollständige Systemkompromittierung.
Black Hat Europe 2025 | Millionen Intranet-Geräte stehen vor einer stillen Übernahme (Nur On-Demand)
Forscher der Nanjing University of Posts and Telecommunications und der unabhängige Sicherheitsexperte Nick Hsieh haben ein neuartiges Angriffsmodell identifiziert, das die stille Übernahme von Millionen Intranet-Geräten ermöglicht, ohne dass eine öffentliche IP-Adresse erforderlich ist. Diese Methode nutzt cloudbasierte Verwaltungskanäle sowie Authentifizierungsschwachstellen in Protokollen wie MQTT, HTTPS und TCP/UDP aus, um traditionelle Sicherheitspatches zu umgehen und die Fernsteuerung über Geräte zu erlangen, die lediglich über Strom- und Netzwerkkabel verbunden sind. Der Angriff zielt auf die initiale Geräteregistrierung ab, in der Hersteller häufig die Validierung von Seriennummern unterlassen oder Topic-Wildcards unbeschränkt lassen, was Angreifern ermöglicht, Verwaltungscommandos zu fälschen und Sitzungen zu kapern. Diese Erkenntnis zeigt, dass die weit verbreitete Abhängigkeit von Cloud-Verwaltung eine systemische Schwachstelle schafft, die von aktuellen Patching-Strategien übersehen wird und sowohl Heim- als auch Unternehmens-IoT-Ökosysteme betrifft.