GitHub Actions yapıtlarının hassas kimlik doğrulama belirteçlerini nasıl sızdırdığını ve popüler açık kaynaklı projeleri güvenlik risklerine nasıl maruz bıraktığını keşfedin. ArtiPACKED güvenlik açığı, nasıl çalıştığı ve projelerinizi olası saldırılardan koruma adımları hakkında bilgi edinin.
Palo Alto Networks’ Unit 42, GitHub Actions’ta kritik bir güvenlik açığı keşfetti. “ArtiPACKED” olarak adlandırılan bu güvenlik açığı, saldırganların popüler açık kaynaklı projelerden GitHub kimlik doğrulama belirteçleri de dahil olmak üzere hassas bilgileri çalmasına olanak tanır.
Bilginize, GitHub Actions, veri kaybını önlemek ve GitHub Actions ortamında verimli yürütmeyi desteklemek için derlenmiş kod, test raporları ve dağıtım paketleri gibi iş akışı derleme yapıtlarını kullanır. Güvenlik açığı, GitHub Actions’ın CI/CD (Sürekli Entegrasyon/Sürekli Teslimat) iş akışı sırasında yapıtları işleme biçiminde yatmaktadır. Yapıtlar, derleme çıktıları ve test sonuçları dahil olmak üzere boru hattının çeşitli noktalarında üretilebilir ve bunların üretilme ve depolanma şekli aşağıdaki senaryolar gibi güvenlik riskleri yaratabilir.
Güvenli Olmayan Varsayılan Ayarlar:
İş akışı için depo kodunu klonlamak amacıyla yaygın olarak kullanılan eylemler/ödeme eylemi, varsayılan olarak GitHub belirtecini yerel, gizli “.git” dizininde depolar; ancak tüm ödeme dizini yanlışlıkla bir yapıt olarak yüklenirse belirteç, depoya okuma erişimi olan herkese açık hale gelir.
Kazara Yüklemeler:
Belirteç içeren “.git” klasörünü de içeren tüm ödeme dizinini yüklemek, istem dışı olarak belirtecin yapıt içinde açığa çıkmasına neden olur.
Çevre Değişken Sızıntıları:
CI/CD hatları genellikle belirteçler gibi hassas verileri depolamak için ortam değişkenlerini kullanır. Bu değişkenler iş akışı yürütme sırasında yanlışlıkla veya bilerek kaydedilirse, potansiyel olarak belirteçleri açığa çıkaran eserler olarak yüklenirler.
Bu sorunlar, saldırganların potansiyel olarak eserler içindeki sızdırılmış belirteçleri bulup istismar edebileceği ve bunları “yarış koşulları” ile belirli senaryoları hedefleyerek, günlüklerden kısa ömürlü belirteçleri süresi dolmadan önce çıkararak istismar edebileceği bir durum yaratır. Belirteçlerin istismar etkinliği, belirteç türüne bağlı olarak değişir.
Örneğin, GitHub tarafından yapıtları yönetmek için dahili olarak kullanılan Actions_Runtime_Token, genellikle yalnızca altı saat boyunca geçerlidir; oysa API anahtarları veya bulut hizmetleri için erişim belirteçleri de dahil olmak üzere Özel belirteçler, birkaç dakikadan sonsuza kadar değişen kullanım ömürlerine sahip olabilir.
Ayrıca, saldırganlar GitHub Actions kullanarak projeleri tanımlamak ve ardından eser oluşturmaya yol açabilecek güvenlik açıklarını taramak için otomatik betikler kullanabilir. Bu betikler daha sonra eserleri indirebilir ve ifşa edilmiş sırları arayabilir.
Araştırmacılar, “Yanlış yapılandırmalar ve güvenlik açıklarının birleşimi, eserlerin hem üçüncü taraf bulut hizmetlerine ait hem de GitHub token’larını sızdırmasına ve bunları depoya okuma erişimi olan herkesin kullanımına sunmasına neden olabilir” dedi.
Bu belirteçler tehlikeye atılırsa saldırganlara özel depolara yetkisiz erişim sağlayabilir ve kaynak kodunu çalmalarına veya hatta projelere kötü amaçlı kod enjekte etmelerine olanak tanıyabilir. Unit 42’nin raporu, Google, Microsoft, AWS ve Red Hat’ten olanlar da dahil olmak üzere popüler projelerin bu güvenlik açıkları aracılığıyla belirteçleri sızdırdığı belirli vakaları vurgulamaktadır.
42. Birim, büyük açık kaynaklı projelerin token sızdırdığı 14 örnek bildirdi ve özellikle otomatik iş akışlarında CI/CD hatlarında sağlam güvenlik uygulamalarına olan ihtiyacı vurguladı. Geliştiriciler ve proje sahipleri, dizinleri inceleyerek ve temizleyerek, hassas eylemler için varsayılan ayarları ayarlayarak ve token izinlerini en aza indirerek bu riski azaltabilir.
https://players.brightcove.net/1050259881001/default_default/index.html?videoId=6360322715112
Obsidian Security CEO’su ve Kurucu Ortağı Glenn Chisholm bu hikaye hakkında yorumda bulundu: “Bulgu, kimlik doğrulama belirteçlerinin ne kadar kritik olduğunu ve saldırganların kaynak koduna ve SaaS uygulamalarına erişmek için çalınan insan ve insan olmayan kimlik doğrulama belirteçlerini giderek daha fazla nasıl kullandığını vurguluyor,” diye açıkladı Genn.
“Kuruluşlar, kimlik doğrulama belirteçlerinin kullanımıyla ilişkili anormal kalıpları aradıklarından emin olmalılar; ve GitHub’ın sorumluluğu işletmelere ve kullanıcılara yüklediği göz önüne alındığında, belirteçlerin yanlışlıkla sızmasını önlemek için iyi bir yapılandırma hijyeni ve depolarının ve iş akışlarının taranmasını sağlamalıdırlar” diye ekledi.
İLGİLİ KONULAR
- Kötü Amaçlı Yazılım Yaymak İçin 3.000 Sahte GitHub Hesabı Kullanıldı
- Kişisel GitHub Depoları Çalışan Bulut Sırlarını Açığa Çıkarıyor
- Silinmiş, Özel GitHub Depo Verilerine Herkes Erişebilir
- Sahte GitHub Depoları YİNE Kötü Amaçlı Yazılımları PoC Olarak Kullanırken Yakalandı!
- GitHub Yorumları Kötü Amaçlı Yazılımı Sahte Microsoft Depolarında Yayıyor