Eine neu entdeckte Angriffsmethode in GitHub Actions-Artefakten namens ArtiPACKED könnte ausgenutzt werden, um Repositories zu übernehmen und Zugriff auf die Cloud-Umgebungen von Organisationen zu erlangen.
“Laut einem Bericht des Forschers Yaron Avital von Palo Alto Networks Unit 42 können eine Kombination von Fehlkonfigurationen und Sicherheitslücken dazu führen, dass Artefakte Tokens preisgeben, sowohl von Drittanbieter-Cloud-Services als auch von GitHub-Tokens, die für jeden mit Lesezugriff auf das Repository zugänglich sind”, so die Aussage des Berichts.
“Dies ermöglicht bösartigen Akteuren mit Zugriff auf diese Artefakte das Potenzial, die Dienste zu kompromittieren, zu denen diese Secrets Zugang gewähren.”
Das Cybersicherheitsunternehmen stellte hauptsächlich das Leck von GitHub-Tokens (z. B. GITHUB_TOKEN und ACTIONS_RUNTIME_TOKEN) fest, die nicht nur bösartigen Akteuren unbefugten Zugriff auf die Repositories ermöglichen, sondern ihnen auch die Möglichkeit geben, den Quellcode zu manipulieren und über CI/CD-Workflows in die Produktion zu bringen.
Artefakte in GitHub ermöglichen es Benutzern, Daten zwischen Jobs in einem Workflow zu teilen und diese Informationen nach Abschluss für 90 Tage zu speichern. Dies kann Builds, Protokolldateien, Core-Dumps, Testausgaben und Bereitstellungspakete umfassen.
Das Sicherheitsproblem besteht darin, dass diese Artefakte im Falle von Open-Source-Projekten öffentlich verfügbar sind, was sie zu einer wertvollen Ressource für das Extrahieren von Secrets wie GitHub-Zugriffstoken macht.
Insbesondere wurde festgestellt, dass die Artefakte eine undokumentierte Umgebungsvariable namens ACTIONS_RUNTIME_TOKEN preisgeben, die eine Lebensdauer von etwa sechs Stunden hat und verwendet werden könnte, um ein Artefakt durch eine bösartige Version zu ersetzen, bevor es abläuft.
Dies könnte dann ein Angriffsfenster für die Ausführung von Remote-Code öffnen, wenn Entwickler das Rogue-Artefakt direkt herunterladen und ausführen oder es einen nachfolgenden Workflow-Job gibt, der basierend auf zuvor hochgeladenen Artefakten konfiguriert ist.
Während GITHUB_TOKEN abläuft, wenn der Job endet, ermöglichten Verbesserungen, die mit Version 4 des Artefakts vorgenommen wurden, einem Angreifer, Rennbedingungsszenarien auszunutzen, um das Token zu stehlen und zu verwenden, indem er ein Artefakt herunterlädt, während ein Workflow-Lauf in Bearbeitung ist.
Das gestohlene Token könnte anschließend verwendet werden, um bösartigen Code in das Repository zu pushen, indem ein neuer Branch erstellt wird, bevor der Pipeline-Job endet und das Token ungültig wird. Dieser Angriff setzt jedoch voraus, dass der Workflow die Berechtigung “Inhalte: schreiben” hat.
Eine Reihe von Open-Source-Repositories, die mit Amazon Web Services (AWS), Google, Microsoft, Red Hat und Ubuntu zusammenhängen, wurden als anfällig für den Angriff identifiziert. GitHub hat das Problem als informativ eingestuft und fordert die Benutzer auf, selbst dafür zu sorgen, dass ihre hochgeladenen Artefakte sicher sind.
“Die Ausphasung von Artefakten V3 durch GitHub sollte Organisationen, die den Artefaktmechanismus nutzen, dazu veranlassen, die Art und Weise, wie sie ihn verwenden, neu zu bewerten”, sagte Avital. “Übersehene Elemente wie Build-Artefakte werden oft zu Hauptzielen für Angreifer.”
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.
Quelle: https://ift.tt/8IqxAtn