Araştırma, GitHub Actions yapıtlarında CI/CD boru hatlarındaki belirteçlere ve sırlara yetkisiz erişime olanak tanıyan kritik bir güvenlik açığı tespit ediyor.
Büyük kuruluşların herkese açık depolarındaki yanlış yapılandırılmış iş akışları hassas bilgileri açığa çıkarıyor, bulut ortamlarını tehlikeye atıyor ve saldırganların üretim sistemlerine kötü amaçlı kod enjekte etmesine olanak tanıyor.
Saldırganlar, sızdırılan GitHub token’larını kullanarak veri havuzlarını manipüle edebilir ve ek sırları çalabilir; bu da yazılım tedarik zincirlerini korumak için eser işleme konusunda güçlü güvenlik uygulamalarına olan acil ihtiyacı ortaya çıkarır.
Bir araştırmacı, GitHub Actions eserlerinin gizli bilgiler gibi hassas verileri içerme potansiyelini analiz ederek popüler açık kaynaklı projelerden eserlerin indirilmesi ve taranması sürecini otomatikleştirdi.
Yapılan incelemede, büyük teknoloji şirketleri ve açık kaynaklı kuruluşlar tarafından yürütülen projelerden elde edilen verilerin sırları ifşa ettiği ve milyonlarca kullanıcıyı etkileyebileceği ortaya çıkarılarak önemli bir güvenlik riski ortaya çıkarıldı.
Easily analyze emerging malware with ANY.RUN interactive online sandbox - Try 14 Days Free Trial
Sızdırılan GitHub Token’larının Kötüye Kullanımı
GitHub token’larının, özellikle GITHUB_TOKEN ve ACTIONS_RUNTIME_TOKEN token’larının, yaygın iş akışı uygulamaları nedeniyle yanlışlıkla herkese açık eserlere dahil edildiği keşfedildi.
Eylemler/ödeme eylemi, varsayılan olarak GITHUB_TOKEN’ı .git dizininde tutar ve bu genellikle bir yapıt olarak yüklenir.
Ayrıca, süper-linter aracı daha önce belirteçler de dahil olmak üzere ortam değişkenlerini, hassas belirteçleri yetkisiz erişime açık hale getiren yapıtlara da dahil olan bir dosyaya kaydediyordu.
Sızdırılan belirteçleri kötüye kullanmak için GitHub eylemlerindeki güvenlik açıklarından yararlandılar. Geçici GITHUB_TOKEN ve belgelenmemiş ACTIONS_RUNTIME_TOKEN’ı hedef alarak, bu belirteçleri iş akışı eserlerinden çıkarmak için teknikler geliştirdiler.
Meşru eserlerin kötü amaçlı olanlarla değiştirilmesi sürecini otomatikleştirerek, çalışan sistemlerde uzaktan kod yürütülmesini sağlarlar.
Ayrıca, GitHub’ın yakın zamanda tanıttığı eser indirme özelliğini kullanarak yeni bir saldırı vektörü belirlediler; bu özellik, GITHUB_TOKEN’ın süresi dolmadan çıkarılmasına ve kullanılmasına olanak vererek, depolara yetkisiz kod gönderilmesini kolaylaştırıyor.
Kullanımdan kaldırılan upload-artifact@v3 eylemini kullanan açık kaynaklı projeler belirlenerek ve iş akışı izinleri analiz edilerek, çok sayıda açığa çıkmış GITHUB_TOKEN sırrı örneği keşfedildi.
İlk girişimler belirteç süresinin dolması nedeniyle engellenmiş olsa da, eser yüklemesinden sonraki adımları içeren bir iş akışını başarıyla istismar ederek geçerli bir belirteci çalıp kullandılar ve bu sayede clair projesinde bir dal oluşturmayı başardılar; bu da bu güvenlik açığı aracılığıyla açık kaynaklı depolara yetkisiz kod gönderme potansiyelini gösterdi.
Saldırgan, hedef depoları iş akışı çalıştırmaları açısından izleyen ve tespit edildiğinde eserlerden sızdırılan belirteçleri hızla indirip çıkaran ve ardından bunları kullanarak GitHub REST API aracılığıyla kötü amaçlı dallar oluşturan ve hedef deponun güvenliğini tehlikeye atan bir GitHub Actions iş akışı olan RepoReaper’ı geliştirerek önceki bir saldırıyı optimize etti.
Bu yaklaşım, maksimum etki için hız ve verimlilik amacıyla GitHub’ın altyapısını kullanır, oran sınırlarını ve sertifika doğrulamasını atlatır.
Palo Alto Networks’teki araştırmacı, GitHub Actions eserleri aracılığıyla hassas bilgilerin sızdırılmasına olanak tanıyan ve çok sayıda önemli projeyi tehlikeye atan bir güvenlik açığı keşfetti.
Yüklemeden önce gizli öğeler açısından yapıtlar analiz edilerek, kazara açığa çıkmayı önlemek için özel bir eylem geliştirildi. Bu sayede yapıt taramasının kritik önemi vurgulandı ve en az ayrıcalıklı izinler ve riskleri azaltmak için CI/CD hatlarının dikkatli bir şekilde incelenmesi gibi bütünsel bir güvenlik yaklaşımının benimsenmesinin önemi vurgulandı.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot