GitHub Actions Lead to Malicious Code Injections - ThreatWire
Summary
TLDRDefconから帰ってきたThreatwireでは、ハッカーの息子であるSam Watsonがオリンピックでブロンズメダルを獲得し、スピードクライミングの世界記録を更新したことを称えます。また、Hack5の20周年を迎える来年Defconに向けて、特別なお祝いが計画されています。さらに、Microsoftの重要なパッチリリースや、GitHubアクションの脆弱性などのセキュリティ情報を提供しています。Hack5チームはDefconの終了後、新しいコンテンツのアイデアを探求しています。
Takeaways
- 🏅 雷·雷德克特的儿子山姆·沃森在奥运会上获得铜牌,并打破了速度攀岩的世界纪录。
- 🎉 雷·雷德克特在推特上分享了儿子山姆在奥运会上的进步,整个黑客社区都对此事非常投入。
- 🤗 感谢所有参加Defcon并访问hack five展位的人,错过了见面机会的人,明年hack five 20周年庆典不容错过。
- 👕 感谢missr团队为hack five制作的定制T恤,效果非常棒。
- 🔒 不安全锁项目在Defcon上展示了如何使用单一RFID钥匙创建酒店所有RFID锁的主钥匙。
- 🔢 受影响的锁是safe lock系统的所有锁,估计超过300万扇门,分布在131个国家的13000个物业。
- 🛠️ 微软在2024年8月14日发布了一个关键的补丁星期二更新,解决了一个TCP/IP RCE漏洞(CVE-2024-38063)。
- 🚫 这个零点击漏洞影响了所有使用IPv6的Windows系统,具体功能尚未披露。
- 🔄 GitHub Actions被利用来强制推送代码到公共项目,利用了GitHub Actions的artifacts输出。
- 🔄 GitHub Actions的工件可以被下载,并且在工作流程进行中,攻击者利用了这一点来实现他们的利用。
- 🛡️ Palo Alto Networks已经发布了一个GitHub Action,用于在上传之前扫描工件中的GitHub令牌值。
Q & A
Defconから帰ってきた際の感想は何ですか?
-Defconは非常に成功したと感じており、ハック5ブースに訪れた皆さんに感謝しています。来られなかった人には残念だと伝えています。
ハッカーコミュニティが注目したオリンピックの出来事は何ですか?
-ハッカーコミュニティは、ハッカーのレイ・レッドactedの息子であるサム・ワトソンがオリンピックで銅メダルを獲得し、スピードクライミングの世界記録を更新したことに注目しました。
ハック5の20周年のお祝いはどのようなものですか?
-ハック5の20周年を祝うために、来年Defconで素晴らしいお祝いを計画しています。その詳細はまだ内緒です。
Missrチームが作成したカスタムシャツについて教えてください。
-Missrチームが作成したカスタムシャツは素晴らしいもので、ハック5チームがそれらを楽しんでいました。
unsafe lockプロジェクトのトークはどのような内容でしたか?
-unsafe lockプロジェクトは、ホテルのRFIDキーを使って1つのRFIDマスターキーを作成し、特定のホテルのすべてのRFIDロックにアクセスできる方法を紹介しました。
2024年8月14日にマイクロソフトがリリースした重要なパッチは何に関するものですか?
-マイクロソフトは、すべてのIPv6を使用するWindowsシステムに影響を及ぼすTCP/IPのリモートコード実行の脆弱性CVE-2024-38063に関する重要なパッチをリリースしました。
CVE-2024-38063のCVSSスコアは何ですか?
-CVE-2024-38063のCVSSスコアは9.8で、非常に高いレベルのリスクを示しています。
GitHub Actionsを悪用した攻撃の仕組みを説明してください。
-攻撃者はGitHub ActionsのアーティファクトからGitHubトークンの値を取得し、その有効期限が切れる前に悪意のあるコードをプッシュする攻撃を行います。
Palo Alto NetworksがリリースしたGitHubアクションは何の用ですか?
-Palo Alto NetworksがリリースしたGitHubアクションは、アップロード前にアーティファクト内のGitHubトークン値をスキャンするものです。
Defconの後、ハック5チームはどのような気持ちですか?
-Defconの後、ハック5チームは非常に元気で、新しいコンテンツのアイデアを提供したいと思っています。
Threatwireのチャンネルで見たい新しいコンテンツについて教えてください。
-Threatwireのチャンネルでは、コミュニティからのフィードバックに基づいて新しいコンテンツを検討しており、皆さんからの意見を楽しみにしています。
Outlines
Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.
Upgrade durchführenMindmap
Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.
Upgrade durchführenKeywords
Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.
Upgrade durchführenHighlights
Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.
Upgrade durchführenTranscripts
Dieser Bereich ist nur für Premium-Benutzer verfügbar. Bitte führen Sie ein Upgrade durch, um auf diesen Abschnitt zuzugreifen.
Upgrade durchführenWeitere ähnliche Videos ansehen
5.0 / 5 (0 votes)
