De servers van het GMP-project kregen afgelopen maand te maken met een DDoS-aanval vanuit een vreemde hoek. Onderzoek wees namelijk uit dat honderden Microsoft-servers betrokken waren in de aanval. Volgens het GMP-project zorgt de architectuur van GitHub voor een snelle doorgang naar dergelijke aanvallen, Microsoft schuift de schuld af.
Torbjörn Granlund, hoofdauteur van GMP, bracht het nieuws aan het licht in een bericht aan geabonneerden op de nieuwsbrief. “De GMP-servers worden aangevallen door honderden IP-adressen door samenwerking met Microsoft.” GMP is een gratis opensource website waar bezoekers een bibiliotheek kunnen vinden voor willekeurige precisieberekeningen.
Het was onmogelijk om de GMP-repo actief te houden zonder ingrijpen van de organisatie. Daarom werd besloten alle IP-adressen afkomstig van een Microsoft-apparaat toegang te ontzeggen.
“We weten niet of dit vanuit slechte bedoelingen is gemaakt door Microsoft, of het een fout is, of dat iemand van hun cloud-klanten achter de aanval zit”, maakte Granlund nog duidelijk.
Microsoft-onderzoek
Later zette Microsoft zelf een onderzoek op poten naar het incident. De dag na de aanval werd al duidelijk dat een GitHub Actions Workflow achter de aanval schuilde. Het kopieerde hiervoor een Mercurial-repository.
“Microsoft en GitHub hebben het probleem onderzocht en vastgesteld dat een GitHub-gebruiker een script binnen het FFmpeg-Builds-project heeft bijgewerkt dat inhoud van gmplib.org heeft gehaald”, legt Mike Blacker, director van threat hunting, uit. “Deze build is geconfigureerd om parallelle gelijktijdige tests uit te voeren op 100 verschillende soorten computers/architectures.”
Ban blijft
Het GMP-project besloot alle verzoeken afkomstig van IP-adressen beheerd door Microsoft rechstreeks naar de firewall te blijven sturen. Op de website staat de verklaring: “Nadat het probleem hier en op de GMP-mailinglijsten ter sprake werd gebracht, reageerden een Github-verantwoordelijke met het probleem te minimaliseren en onze servers de schuld te geven van de denial-of-service-aanval. Ze deden niets om de aanval te stoppen! In feite is het een week later nog steeds aan de gang.”
Volgens het GMP-project kan de architectuur van GitHub te eenvoudig misbruikt worden om dergelijke aanvallen te lanceren. “De set-up van Github moedigt “forks” van hun projecten aan, en dergelijke forks halen dan standaard wijzigingen in het bovenliggende project binnen.”
Lees ook: Miljoenen GitHub-repo’s kwetsbaar voor RepoJacking, toont onderzoek
21 uur geleden
