Kötü amaçlı yapılar ve daha geniş altyapı tavizleri en kötü durum senaryolarıydı
Güvenlik araştırmacıları, popüler sürekli entegrasyon ve geliştirme (CI/CD) hizmeti GitHub Eylemlerinde komut yürütmeye karşı savunmasız olan birden çok iş akışı belirledi.
Flört platformu Tinder’dan bir araştırma ekibi, Elastic’s Logstash dahil olmak üzere çeşitli açık kaynaklı GitHub depolarına yazma erişimi sağlayan sırların sızmasını sağlayan kusurları ortaya çıkaran bir otomasyon komut dosyası hazırladı.
Bulguları belgeleyen bir blog yazısı, sırasıyla kırmızı ekip üyesi, kıdemli ürün güvenliği yöneticisi ve Tinder’da mühendislik yöneticisi olan Rojan Rijal, Johnny Nipper ve Tanner Emek tarafından kaleme alındı.
BUNU DA BEĞENEBİLİRSİN ‘Temelde mükemmelliğe odaklanın’ – GitHub CSO’su Mike Hanley sola kayma ve yazılım tedarik zincirini güvence altına alma konusunda
üçlü anlattı Günlük Swig Varsayılan olarak depoya okuma/yazma erişimi olan “en kötü senaryoda, değeri almak için savunmasız bir iş akışından yararlanabilirsiniz”. “Bu, kullanıcılara karşı kötü niyetli bir yapıyı zorlamak ve tedarik zinciriyle ilgili açıklardan yararlanmaları gerçekleştirmek için kullanılabilir.”
AWS kimlik bilgileri, API Anahtarları veya hizmet kimlik bilgileri gibi iş akışı içinde daha hassas erişim sırları açığa çıkarsa, “bu, bir şirketin altyapısının tehlikeye girmesine neden olabilir” diye eklediler.
Güvenlik açıklarının en yaygın nedeni, çalıştırma komut dosyalarındaki güvenli olmayan kullanıcı girdileriydi. Araştırmacılar ayrıca, çatallı depolarda olay işleyicilerin kullanımıyla ilgili bir sorun için 2019 düzeltmesini atlayabilecek yanlış kullanılan birçok örnek buldular.
Araştırma, doğrulanmış güvenlik açıklarının projelere sorumlu bir şekilde bildirildiği, güvenlik açığı açıklama politikalarına sahip projelere odaklandı. Araştırmacılar, Elastic’in güvenlik ekibinin savunmasız iş akışını hızla devre dışı bıraktığını ve herhangi bir kötüye kullanım olmadığını doğruladığını söyledi.
GitHub İş Akışı Denetçisi
Tinder Security Labs, araştırma için kullanılan aracı açık kaynaklı hale getirdi. GitHub İş Akışı Denetçisi, güvenli olmayan kullanıcı girdileri, kötü niyetli taahhütler ve sırlar için iş akışlarını kontrol eder.
Yazarlar, karşılaştırılabilir, mevcut araçların sınırlamaları göz önüne alındığında, Günlük Swig Verimliliğin yanı sıra GitHub Eylemlerindeki çoğu güvenlik açığı vakasını ele almaya odaklandıklarını söyledi. Bu nedenle, GitHub API anahtarı sağlayarak kuruluşların tüm depolarını tek seferde taramalarına izin veriyoruz. Bu, güvenlik ekipleri için zaman ve çabayı azaltır”.
En son DevSecOps haberlerinin devamını okuyun
Araç ayrıca eski GitHub hesaplarından eylemleri çalıştıran iş akışlarının neden olduğu bir tedarik zinciri riskini de ele aldı. Araştırmacılar, “Bu gibi durumlarda, saldırganlar hesabı talep edebilir ve depoya ve iş akışlarına erişmelerine izin veren kötü niyetli eylemleri zorlayabilir” dedi. “Bu özel durum, test ettiğimiz araçlar kapsamında değildi.”
Şunları eklediler: “Tinder Labs’deki hedefimiz, küresel etkiye sahip çok çeşitli teknolojilerdeki yüksek etkili güvenlik açıklarını belirlemektir. Diğer teknolojileri araştırdıkça, gelecekte bizden daha fazla bulgu ve araç görmeyi bekleyebilirsiniz.”
Hafifletmeler
Araştırmacılar, geliştiricileri GitHub Eylemlerinde kullanıcı girdilerini uygun şekilde temizlemeye ve GitHub Belirteçlerinin erişim kapsamını sınırlayarak saldırıları azaltmaya çağırdı.
Bu arada GitHub Security Lab, daha önce yalnızca geliştiricilerin iş akışlarında “hedef deponun ayrıcalıklı bağlamına ihtiyaç duyduğunda” kullanılmasını önermişti.
Tinder Security Labs’ın bulguları, düzinelerce depoda kritik kusurlara neden olan yanlış yapılandırılmış GitHub Actions iş akışlarının Mart ayındaki açıklamasını ve Ocak ayında bir kod inceleme koruma atlaması için bir GitHub Actions yamasını takip ediyor.
GitHub yanıt vermedi Günlük Swigyoruma davet.
İLİŞKİLİ GitHub, npm için 2FA’yı geliştirir, güvenliği ve yönetilebilirliği iyileştirir