Istraživanje identifikuje kritičnu bezbjednosnu ranjivost u GitHub Actions artefaktima, omogućavajući neovlašćeni pristup tokenima i tajnama unutar CI/CD cevovoda .
Pogrešno konfigurisani tokovi rada u javnim repozitorijumima velikih organizacija izložili su osetljive informacije, potencijalno narušavajući okruženja u oblaku i dozvoljavajući napadačima da ubace zlonamjerni kod u proizvodne sisteme.
Eksploatacijom procurelih GitHub tokena, protivnici bi mogli manipulisati repozitorijumima i ukrasti dodatne tajne, naglašavajući hitnu potrebu za robusnim sigurnosnim praksama oko rukovanja artefaktima kako bi se zaštitili lanci nabavke softvera.
Istraživač je automatizovao proces preuzimanja i skeniranja artefakata iz popularnih projekata otvorenog koda analizirajući potencijal da artefakti GitHub Actions sadrže osjetljive podatke poput tajni.
.webp)
Istraga je otkrila značajan sigurnosni rizik, jer je otkriveno da artefakti iz projekata koje održavaju velike tehnološke kompanije i organizacije otvorenog koda otkrivaju tajne, potencijalno utičući na milione korisnika.
Zloupotreba procurelih GitHub tokena
Otkriveno je da su GitHub tokeni , posebno GITHUB_TOKEN i ACTIONS_RUNTIME_TOKEN, nehotice uključeni u javne artefakte zbog uobičajenih praksi toka posla.
Akcija radnje/odjava podrazumijevano zadržava GITHUB_TOKEN u direktorijumu .git, koji se često učitava kao artefakt.
Osim toga, super-linter alat je prethodno evidentirao varijable okruženja, uključujući tokene, u datoteku koja je također bila uključena u artefakte, što je izložilo osjetljive tokene neovlaštenom pristupu.
.webp)
Iskoristili su ranjivosti u GitHub akcijama za zloupotrebu procurelih tokena. Ciljajući efemerni GITHUB_TOKEN i nedokumentirani ACTIONS_RUNTIME_TOKEN, razvili su tehnike za izdvajanje ovih tokena iz artefakata toka posla.
Automatizacijom procesa zamjene legitimnih artefakata zlonamjernim, oni omogućavaju daljinsko izvršavanje koda na pokrenutim sistemima.
Nadalje, identificirali su novi vektor napada koristeći GitHubovu nedavno uvedenu funkciju preuzimanja artefakata, omogućavajući ekstrakciju i korištenje GITHUB_TOKEN prije njegovog isteka, olakšavajući neovlašteno guranje koda u skladišta.
.webp)
Identifikovanjem projekata otvorenog koda korišćenjem zastarijele akcije upload-artifact@v3 i analizom njihovih dozvola za radni tok otkrivene su brojne instance otkrivenih tajni GITHUB_TOKEN.
Dok su rani pokušaji bili osujećeni istekom tokena, oni su uspješno iskoristili tok posla sa narednim koracima nakon učitavanja artefakata da ukradu i iskoriste važeći token, što im je omogućilo da stvore granu u projektu clair, demonstrirajući potencijal za neovlašteno guranje koda za otvaranje- izvorna spremišta kroz ovu ranjivost.
.webp)
Napadač je optimizovao prethodni napad tako što je razvio RepoReaper, radni tok GitHub Actions koji prati ciljna skladišta za radni tok i brzo preuzima i izvlači procurele tokene iz artefakata nakon otkrivanja, a zatim ih iskorištava za kreiranje zlonamjernih grana putem GitHub REST API-ja, narušavajući ciljno skladište .
Pristup koristi GitHub-ovu infrastrukturu za brzinu i efikasnost, zaobilazeći ograničenja brzine i verifikaciju sertifikata za maksimalan učinak.
Istraživač u Palo Alto Networks otkrio je ranjivost koja omogućava curenje osjetljivih informacija kroz GitHub Actions artefakte, narušavajući brojne projekte visokog profila.
Analizom artefakata u potrazi za tajnama prije otpremanja, razvijena je prilagođena radnja za sprječavanje slučajnog izlaganja, naglašavajući kritičnu potrebu za skeniranjem artefakata i naglašavajući važnost usvajanja holističkog sigurnosnog pristupa, uključujući najmanje privilegijske dozvole i pažljiv pregled CI/CD cjevovoda radi ublažavanja rizici.
Izvor: CyberSecurityNews