Heim  >  Artikel  >  Sicherheitslücke in GitHub Actions gefährdet namhafte Open-Source-Projekte

Sicherheitslücke in GitHub Actions gefährdet namhafte Open-Source-Projekte

WBOY
WBOYOriginal
2024-08-16 00:27:14286Durchsuche

Eine Sicherheitslücke in GitHub Actions hat mehrere bemerkenswerte Open-Source-Projekte gefährdet, die von Unternehmen wie Google, Microsoft, AWS und Red Hat verwaltet werden.

Sicherheitslücke in GitHub Actions gefährdet namhafte Open-Source-Projekte

Eine kritische Sicherheitslücke in GitHub Actions hat zur Offenlegung von Authentifizierungstokens für mehrere hochkarätige Open-Source-Projekte geführt, die von Unternehmen wie Google, Microsoft, AWS und Red Hat verwaltet werden. Dieser Fehler hat den unbefugten Zugriff auf private Repositorys und das Einfügen von Schadcode ermöglicht.

GitHub Actions ist eine Plattform für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD), die tief in GitHub integriert ist. Es wurde 2018 eingeführt und ermöglicht Benutzern die Automatisierung ihrer Build-, Test- und Bereitstellungspipelines direkt in ihren GitHub-Repositorys.

Diese Schwachstelle wurde von der Abteilung 42 von Palo Alto Networks entdeckt, die feststellte, dass diese Token unbeabsichtigt öffentlich wurden. Überraschenderweise hat GitHub trotz der Schwere der Lage beschlossen, das zugrunde liegende Problem nicht zu beheben. Stattdessen haben sie den Benutzern empfohlen, Maßnahmen zur Sicherung ihrer Workflow-Artefakte zu ergreifen. Diese Entscheidung hat viele Benutzer verletzlich und frustriert gemacht.

Die Untersuchung von Unit 42 hat mehrere Probleme aufgezeigt, die zu dieser Sicherheitslücke beitragen können, darunter unsichere Standardkonfigurationen und Benutzerfehler. Ein Hauptproblem betrifft die Funktion „Aktionen/Checkout“, die standardmäßig das GitHub-Token im lokalen .git-Verzeichnis speichert. Wenn dieses Verzeichnis in Artefakt-Uploads enthalten ist, wird das Token verfügbar gemacht.

Diese Schwachstelle betrifft auch andere vertrauliche Informationen, wie API-Schlüssel und Cloud-Zugriffstoken, die durch diese Artefakte durchsickern könnten. Build-Ausgaben und Testergebnisse werden bis zu 90 Tage lang gespeichert und können von jedem abgerufen werden, der über Leseberechtigungen für das Repository verfügt.

Eine weitere Schwachstelle tritt auf, wenn CI/CD-Pipelines GitHub-Tokens in Umgebungsvariablen speichern. Wenn Aktionen oder Skripte innerhalb des Workflows diese Umgebungsvariablen protokollieren, können sie unbeabsichtigt offengelegt werden. Wenn Sie beispielsweise die Eigenschaft „CREATE_LOG_FILE“ in der Aktion „super-linter“ aktivieren, können diese Variablen protokolliert werden.

Die Ausnutzung dieser Sicherheitslücke kann je nach Art des offengelegten Tokens variieren. Wenn beispielsweise ein GitHub-Token durchgesickert ist, können damit Anmeldeinformationen aus Protokolldateien extrahiert und verwendet werden, bevor sie ablaufen. GitHub-Tokens sind in der Regel für die Dauer ihrer Workflow-Jobs gültig, während das „Actions_Runtime_Token“, das für Caching und Artefaktverwaltung verwendet wird, sechs Stunden lang gültig bleibt. Dies bietet Angreifern ein begrenztes Zeitfenster.

Die von Unit 42 durchgeführte Untersuchung ergab jedoch auch, dass diese Token den Zugriff auf Cloud-Infrastrukturen von Drittanbietern und nicht nur auf GitHub umfassen. Dies wirft weitere Sicherheitsbedenken auf, da sich herausstellte, dass künstliche Daten, die diese Token enthalten, bis zu drei Monate lang öffentlich zugänglich waren. Böswillige Akteure könnten den Abruf von Artefakten automatisieren, Token extrahieren und sie verwenden, um Schadcode in Repositories zu übertragen.

Um diese Schwachstelle zu demonstrieren, erstellten die Forscher einen Zweig in einem Open-Source-Projekt, der das Potenzial für Remote Code Execution (RCE) auf dem Runner zeigt, der das bösartige Artefakt verarbeitet. Sie entwickelten außerdem eine Proof-of-Concept-Aktion (PoC), um das Quellverzeichnis auf Geheimnisse zu prüfen und das Hochladen von Artefakten zu blockieren, wenn ein Risiko für die Offenlegung von Geheimnissen festgestellt wurde.

Die Ergebnisse dieser Untersuchung wurden an das Bug-Bounty-Programm von GitHub übermittelt, das Problem wurde jedoch als informativ eingestuft, was darauf hindeutet, dass Benutzer die Verantwortung für die Sicherung hochgeladener Artefakte tragen. Trotz der begrenzten Reaktion von GitHub wurden die Erkenntnisse mit der Cyber ​​Threat Alliance (CTA) geteilt, um es den Mitgliedern zu ermöglichen, Schutzmaßnahmen zu ergreifen und potenzielle Cyber-Bedrohungen zu vereiteln.

Das obige ist der detaillierte Inhalt vonSicherheitslücke in GitHub Actions gefährdet namhafte Open-Source-Projekte. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn