Novee ordnet „Cordyceps“ nicht als klassische einzelne Schwachstelle mit CVE ein, sondern als problematisches Muster in CI/CD-Konfigurationen. Betroffen sind laut dem von Elad Meged veröffentlichten Blogbeitrag Repositories großer und kleiner Organisationen. Ausgangspunkt sind Pull Requests, also Anfragen von Entwicklern, Änderungen in ein Haupt-Repository zu übernehmen. Gerade weil diese Abläufe offen und weit verbreitet sind, können Fehler in den dazwischenliegenden Automatisierungen weitreichende Folgen haben.
Nach Darstellung von Novee liegt die Hauptursache in schwachen CI/CD-Konfigurationen, die Pull Requests mehr Rechte einräumen, als Konten ohne Maintainer-Rolle haben sollten. Wer die automatisierten Workflows rund um ein Repository mit gezielten Pull Requests angreift, kann demnach auf Zugangstoken und Signaturschlüssel abzielen, die in diesen Abläufen hinterlegt sind und naturgemäß hohe Berechtigungen besitzen. Daraus können laut Novee Befehlsinjektion, Rechteausweitung und Supply-Chain-Kompromittierungen entstehen.
Meged zufolge markierte Novee in einem einzelnen Scan 654 Repositories als potenziell ausnutzbar. Bei 300 davon sei die vollständige Ausnutzbarkeit bestätigt worden, etwa für angriffergesteuerte Codeausführung, den Diebstahl von Zugangsdaten oder eine Kompromittierung der Lieferkette. Als weitere mögliche Folgen nennt Novee das Veröffentlichen bösartiger Pakete in Stores, das Fälschen von CI-Prüfungen, das Umgehen von Merge-Schranken, die Nachahmung von Bots und Social Engineering.
Konkrete Beispiele nennt Novee ebenfalls. Bei Microsofts Azure Sentinel habe ein Kommentar in einem Pull Request anonymen Angreifercode in Microsofts CI ausführen können, um einen nicht ablaufenden GitHub-App-Schlüssel zu stehlen. Beim AI Agent Development Kit von Google habe ein Pull Request Angreifercode in Googles CI ausführen können, um „authentifizierte Kontrolle über das zugehörige Google-Cloud-Projekt“ zu erlangen und damit volle Befugnisse über ein Google-Cloud-Repository zu gewinnen.
Darüber hinaus fand Novee nach eigenen Angaben zwei Zero-Click-Angriffe über Pull Requests auf die Analysedatenbank Doris von Apache. Ebenfalls genannt werden Angriffe auf Cloudflares Workers SDK und Black der Python Software Foundation. Microsoft und Google hätten die Auswirkungen bestätigt, so Novee. Cloudflare und Apache hätten Härtungen beziehungsweise Korrekturen umgesetzt.
Gegenüber Dark Reading erklärte Novee, dass die Workflow-Muster bei den Anbietern, die Korrekturen eingeführt haben, nicht ausgenutzt worden seien. Meged sagte zudem gegenüber Dark Reading: „Es gibt keine Hinweise darauf, dass ein Angreifer oder eine Gruppe dieses Muster breit und in großem Maßstab angewendet hat.“ Gleichzeitig beschreibt Novee das Thema als schwer mit Scannern zu erkennen, weil technisch gesehen jede einzelne Komponente wie vorgesehen funktioniere. Die Schwachstelle entstehe erst in der Komposition der Abläufe.
Hinzu kommt laut Meged, dass sich Cordyceps je nach Aufbau eines Repositorys unterschiedlich zeigt und sich eine mögliche Verwundbarkeit nur über mehrere Schritte erkennen lässt. Verschärft werde das Problem durch KI-Programmieragenten. Meged schreibt, sie erzeugten CI/CD-Konfigurationen schnell und reproduzierten dieselben unsicheren Muster immer wieder, sodass sich identische Fehler über Millionen von Repositories vervielfachen könnten.
Meged empfiehlt, CI/CD-Workflows wie Code-Bestände zu behandeln und denselben Anforderungen zu unterwerfen wie Anwendungen. „Workflow-Code ist Code“, so seine Begründung. CISOs sollten insbesondere jene Workflows inventarisieren, die unvertrauenswürdige Eingaben mit erhöhten Rechten verarbeiten, und diese Abläufe absichern. Außerdem sagt er: „Wie bei Code sollte jede Eingabe sorgfältig behandelt werden, und Rollen sollten detailliert zugeschnitten sein.“