Celah Cordyceps di CI/CD Mengancam 300+ Repositori GitHub dengan Serangan Rantai Pasokan

Peneliti keamanan siber baru-baru ini mengungkap celah serius pada sistem CI/CD yang dikenal sebagai Cordyceps, yang berpotensi mengekspos lebih dari 300 repositori GitHub milik organisasi besar dunia terhadap serangan rantai pasokan. Celah ini memungkinkan pelaku jahat mengendalikan alur kerja (workflow) secara penuh, mencuri kredensial, serta menjalankan kode berbahaya tanpa perlu hak akses khusus.

Apa Itu Celah Cordyceps dan Dampaknya pada Repositori GitHub?

Menurut Novee Security, perusahaan yang menemukan celah ini, Cordyceps merupakan pola kerentanan eksploitasi kritis pada konfigurasi CI/CD yang lemah. Celah ini memungkinkan pull request (PR) yang berasal dari sumber tidak terpercaya mendapatkan izin lebih dari yang seharusnya. PR adalah usulan perubahan kode yang diajukan untuk digabungkan ke dalam proyek utama, namun apabila PR tersebut bisa memicu workflow dengan hak istimewa tinggi, maka celah ini dapat dimanfaatkan untuk:

• Menjalankan kode berbahaya (command injection).
• Meningkatkan hak akses secara ilegal (privilege escalation).
• Mencuri kredensial sensitif dan token otentikasi.
• Melakukan kompromi rantai pasokan perangkat lunak secara luas.

Elad Meged, insinyur pendiri sekaligus peneliti keamanan di Novee Security, menegaskan, "Celah ini dapat dieksploitasi oleh pengguna anonim tanpa autentikasi. Tidak diperlukan keanggotaan organisasi atau hak istimewa khusus; akun gratis saja sudah cukup untuk memalsukan persetujuan, mendorong kode, atau mencuri kredensial."

Repositori Besar Terkena Dampak

Dalam pemindaian terhadap sekitar 30.000 repositori penting, Novee menemukan lebih dari 300 repositori yang rentan sepenuhnya. Organisasi besar seperti Microsoft, Google, Apache, dan Cloudflare termasuk yang terdampak. Contoh kasus yang ditemukan meliputi:

1. Microsoft Azure Sentinel: Komentar pada PR dapat menjalankan kode penyerang secara anonim dan mencuri kunci GitHub App yang tidak pernah kedaluwarsa.
2. Google AI Agent Development Kit (adk-samples): PR dapat mengeksekusi kode berbahaya pada CI Google dan mengambil alih kontrol penuh atas repositori Google Cloud.
3. Apache Doris: Dua serangan tanpa interaksi pengguna memungkinkan komentar pada PR menjalankan kode berbahaya dan mengekstrak kredensial CI yang tersimpan secara keras.
4. Cloudflare Workers SDK: PR dengan nama cabang khusus bisa menjalankan perintah arbitrer pada runner CI Cloudflare.
5. Python Software Foundation's Black: PR dari siapa saja dapat menjalankan kode jahat pada sistem build Black dan mencuri token otomatisasi untuk menyetujui PR lain secara ilegal.

Setelah laporan ini disampaikan secara bertanggung jawab, Microsoft dan Google mengonfirmasi bahwa mereka terpengaruh, sementara Cloudflare, Python, dan Apache telah menerapkan perbaikan dan penguatan sistem.

Analisis Redaksi

Menurut pandangan redaksi, temuan celah Cordyceps mengungkap masalah mendalam dalam keamanan pipeline CI/CD yang selama ini kurang diperhatikan oleh banyak organisasi. Meski setiap bagian workflow berfungsi sesuai desain, komposisi dari sistem tersebut memungkinkan pengguna tidak terpercaya menembus batas kepercayaan, yang pada akhirnya membuka pintu untuk serangan rantai pasokan yang berdampak luas.

Dengan semakin banyaknya pengembangan perangkat lunak yang bergantung pada open source dan otomatisasi CI/CD, celah seperti Cordyceps menjadi game-changer yang berpotensi membahayakan keamanan software global. Serangan yang dapat dilakukan secara anonim ini ibarat mengendalikan boneka pada repositori milik perusahaan-perusahaan raksasa, yang berisiko memanipulasi produk akhir tanpa diketahui.

Ke depan, organisasi harus meninjau ulang dan memperketat konfigurasi CI/CD mereka, membatasi hak akses PR, serta menerapkan pengawasan ketat untuk mendeteksi dan mencegah alur kerja yang berpotensi berbahaya. Publik dan pengembang juga wajib waspada terhadap risiko tersembunyi ini dan terus mengikuti perkembangan keamanan rantai pasokan perangkat lunak.

Informasi lebih lengkap dan pembaruan terkait celah Cordyceps ini dapat dilihat pada laporan asli di The Hacker News, serta berbagai sumber terpercaya lainnya.

Dengan memahami risiko ini, kita dapat bersama-sama mendorong ekosistem open source yang lebih aman dan terpercaya di masa depan.