“ReviewDog/Action-setup@v1” GitHub eyleminin uzlaşmasıyla başlayan basamaklı bir tedarik zinciri saldırısının, CI/CD sırlarını sızdıran “TJ-Actions/Chaned Files” in son zamanlarda ihlaline yol açtığına inanılıyor.
Geçen hafta, TJ-Actions/Değiştirilmiş Dosya GitHub eylemine bir tedarik zinciri saldırısı, kötü amaçlı kodun 23.000 depo için iş akışı günlüklerine CI/CD sırları yazmasına neden oldu. Bu kütükler halka açık olsaydı, saldırgan sırları çalabilirdi.
TJ aksiyon geliştiricileri, saldırganların kötü amaçlı kod değişikliklerini gerçekleştirmek için bir bot tarafından kullanılan bir GitHub kişisel erişim belirtecini (PAT) tam olarak nasıl tehlikeye attığını belirleyemez.
Bugün, Wiz araştırmacıları, cevabı ‘ReviewDog/Action-Setup’ adlı başka bir GitHub eylemiyle başlayan basamaklı tedarik zinciri saldırıları şeklinde bulmuş olabileceklerini düşünüyorlar.
Siber güvenlik firması, saldırganların ilk olarak inceleme/aksiyon-setUp GitHub eylemi için V1 etiketini tehlikeye attığını ve dosyaları günlüğe kaydetmek için CI/CD sırlarını dökmek için benzer kod enjekte ettiğini bildiriyor.
TJ-Actions/Eslint-Changed Files, ReviewDog/Action-Setup eylemini kullandığından, tehlikeye atılan eylemin TJ-Actic’in kişisel erişim belirtecini dökmek ve çalmak için kullanıldığına inanılmaktadır.
Raporda, “ReviewDog/Action-Setup’ın uzlaşmasının, TJ-Actions-Bot PAT’ın uzlaşmasının temel nedeni olduğuna inanıyoruz.”
“TJ-Actions/Eslint-Changed Files, ReviewDog/Action-Setup@V1 kullanır ve TJ-Actions/Chaned-Files deposu bu TJ-Actions/ESlint-Changeed Files eylemini kişisel erişim belirteci ile çalıştırır.”
Diyerek şöyle devam etti: “Gözden geçirme işlemi, TJ-Actions Pat uzlaşmasıyla aynı zaman penceresi sırasında tehlikeye atıldı.”
Saldırganlar, Base64 ile kodlanmış bir yük yükü yükleme.sh’a ekledi ve etkilenen CI iş akışlarından gelen sırların ortaya çıkmasına neden oldu.
TJ eylemlerinde olduğu gibi, maruz kalan sırlar iş akışı günlüklerinin bir parçası olarak kamu depolarında görülebilir.
.jpg)
Kaynak: Wiz
İhlal olarak onaylanan inceleme/aksiyon-setup@v1 etiketi dışında, aşağıdaki eylemler de etkilenebilir:
- ReviewDog/Action-ShellCheck
- ReviewDog/Action-Kompozit-TEMPLAT
- ReviewDog/Action-StaticCheck
- ReviewDog/Action-AST-GREP
- ReviewDog/Action-Typos
Wiz, ReviewDog’daki güvenlik ihlalinin tesadüfen iyileştirildiğini açıklıyor, ancak tekrarlanmayı önlemek için ekibe ve Github’a bulgularını bildirdiler.
Her ne kadar ihlalin kesin yöntemi belirlenmemiş olsa da, Wiz, Review Dog’un büyük bir katkıda bulunanlar tabanını koruduğunu ve riski doğal olarak yükselten otomatik davetler aracılığıyla yeni üyeleri kabul ettiğini söylüyor.
Özellikle, eylem tehlikeye girerse, başarılı bir sonuçla TJ-Actions/değiştirilen dosyalara tekrar saldırı mümkün olacaktır, potansiyel olarak sadece döndürülmüş CI/CD sırlarını ortaya çıkarır.
Öneriler
Wiz, potansiyel olarak etkilenen projelerin bu GitHub sorgusunu çalıştırdığını ve Depolardaki ReviewDog/Action-Setup@V1’e referansları kontrol ettiğini ileri sürüyor.
İş akışı günlüklerinde çift kodlanmış Base64 yükleri bulunursa, bu bir onay olarak alınmalıdır.
Geliştiriciler, şubelerden etkilenen eylemlere yönelik tüm referansları derhal kaldırmalı, iş akışı günlüklerini silmeli ve potansiyel olarak maruz kalan sırları döndürmelidir.
Gelecekte benzer uzlaşmaları önlemek için, Github eylemlerini sürüm etiketleri yerine karma işlemeye ve GitHub’ın izin verilen özelliğini yetkisiz eylemleri kısıtlamak için kullanın.
Bu tedarik zinciri saldırıları ve sızdırılmış CI/CD sırları, etkilenen projeler üzerinde kalıcı bir etkiye sahip olmak zorundadır, bu nedenle riskleri azaltmak için hızlı bir eylem gereklidir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.