Github iş akışlarınızı en kısa sürede yamalayın


Yaygın olarak kullanılan bir üçüncü taraf GitHub eylemi, TJ-Actions/değiştirilen dosyalarda bir güvenlik açığı (CVE-2025-30066) tanımlanmıştır. Bu güvenlik kusuru, geçerli erişim anahtarları, GitHub kişisel erişim belirteçleri (PAT’ler), NPM jetonları ve özel RSA anahtarları dahil olmak üzere hassas bilgileri ortaya çıkarır.

Güvenlik açığı 46.0.1 sürümünde yamalanmıştır ve kullanıcılardan depolarını ve iş akışlarını korumak için hemen güncellemeleri istenir.

TJ aksiyonları/değiştirilmiş dosyalar nedir?

TJ-Actions/Chaned Files, kullanıcıların dosya değişikliklerini çekme isteklerinde ve taahhütlerinde izlemesine yardımcı olan popüler bir GitHub eylemidir. Değişen dosyaları bir hedef dal, birden çok şube veya belirli taahhütlere göre tanımlar, bu da onu CI/CD iş akışlarını otomatikleştiren geliştiriciler için önemli bir araç haline getirir.

Ancak, yakın zamanda yapılan bir tedarik zinciri uzlaşması nedeniyle, saldırganlar bu eylemde bir güvenlik zayıflığından yararlanarak potansiyel bilgi açıklama risklerine yol açtılar. Güvenlik açığı, Step-Gecerity Harden-Runner tarafından keşfedildi ve o zamandan beri en son yamada ele alındı.

Eylem nasıl tehlikeye atıldı?

Uzlaşma 14 Mart ve 15 Mart 2025 arasında meydana geldi. Başlangıçta V1 ila V45.0.7 sürümleri güvenlidir, ancak kötü niyetli bir aktör bu etiketleri, zararlı bir güncelleme özelliği kodu içeren 0E58ED8’i işlemek için değiştirmiştir. Bu değişiklik, saldırganların eylem günlüklerini okumasına ve potansiyel olarak hassas kimlik bilgilerini çıkarmasına izin verdi.

Keşif üzerine, GitHub ve TJ-Actions/Chotes-Files’in bakımı, tehlikeye atılan taahhütleri tüm etiketlerden ve şubelerden kaldırmak için hızlı bir eylemde bulundu. Sorun 46.0.1 sürümünde yamalandı ve kullanıcıların daha fazla sömürü önlemek için hemen güncellemeleri tavsiye ediliyor.


Tarayıcınız video etiketini desteklemez.

Cisa Flags CVE-2025-30066

Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bu sorunun ciddiyetini vurgulayarak bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-30066 ekledi. CISA, kuruluşları üçüncü taraf github eylemlerini kullanırken güvenliği artırmak için önerilen azaltma adımlarını izlemeye şiddetle teşvik eder.

Riski azaltmak için adımlar

14 Mart ile 15 Mart arasındaki iş akışlarında TJ-Actions/değiştirme dosyaları kullanan kullanıcılar aşağıdaki adımları atmalıdır:

1. Şüpheli etkinlik için iş akışlarını gözden geçirin:

  • Etkilenen dönemde yürütülen iş akışlarını inceleyin.
  • Değiştirilen dosyalar bölümünde beklenmedik çıktı arayın.
  • Anomaliler tespit edilirse, aşağıdakileri kullanarak kod çözünür.
echo 'xxx' | base64 -d | base64 -d
  • Çıktı hassas kimlik bilgileri içeriyorsa, bu sırları hemen iptal edin ve döndürün.

2. En son sürüme güncelleme:

  • İş akışlarınız SHA tarafından bu eyleme başvurursa, tehlikeye atılan taahhütü kullanmaktan kaçınmak için bunları hemen güncelleyin.
  • Etiketli sürümler (örn., V35, v44.5.1) kullanılıyorsa, bu etiketler güvenli sürümlere güncellendiğinden hiçbir işlem gerekmez.
  • En son yamalı sürüm v46.0.1’dir.

3. Potansiyel olarak maruz kalan sırları döndürün:

  • Ek bir önlem olarak, şüpheli bir etkinlik bulunmasa bile, sürekli güvenliği sağlamak için sırları döndürün.

4. Üçüncü taraf eylemler için güvenlik önlemlerini geliştirin:

  • GitHub eylemleri için güvenlik tavsiyelerini düzenli olarak izleyin.
  • GitHub’ın Gitki ALERT’leri ve iş akışı izin kısıtlamaları gibi güvenlik özelliklerini uygulamayı düşünün.
  • Üçüncü taraf eylemlerini yalnızca güvenilir kaynaklarla sınırlayın.

TJ-Actions/Değişen Dosyalardan ödün verilmesi, açık kaynak topluluğunu hedefleyen tedarik zinciri saldırılarının önemli bir örneğidir. Birçok geliştirici ve kuruluş, süreçleri otomatikleştirmek için üçüncü taraf Github eylemlerine güvendiğinden, tek bir uzlaşmacı bağımlılığın yaygın sonuçları olabilir.

CVE-2025-30066 tarafından ortaya çıkan temel riskler

  • Hassas kimlik bilgilerinin maruz kalması: Saldırganlar GitHub Pats, NPM jetonları, RSA özel anahtarları ve tehlikeye atılan iş akışlarından diğer kimlik bilgilerini çıkarabilir.
  • Yetkisiz erişim potansiyeli: Çalıntı kimlik bilgileri depoları değiştirmek, kötü amaçlı kod enjekte etmek veya sistemlere yetkisiz erişim kazanmak için kullanılabilir.
  • Geniş ölçekli etki: Bu eylemin popülaritesi göz önüne alındığında, farklı endüstrilerdeki kuruluşlar etkilenebilir.

Saldırıdan dersler

TJ-Actions/Değişen Files olayı, üçüncü taraf bağımlılıklarına dayanan kuruluşlar için bir uyandırma çağrısı görevi görür. Riskleri en aza indirmek için, siber güvenlik uzmanları:

  1. Düzenli olarak bağımlılıklar: Güvenlik açıklarına maruz kalmayı azaltmak için üçüncü taraf eylemleri ve bağımlılıkları periyodik olarak gözden geçirin ve güncelleyin.
  2. GitHub’ın güvenlik özelliklerini etkinleştirin: Bağımlılık grafiği, bağımlılık uyarıları ve gizli tarama gibi özellikler güvenlik sorunlarının erken tespit edilmesine yardımcı olabilir.
  3. İş akışı izinlerini kısıtlayın: Üçüncü taraf eylemlere aşırı izin vermekten kaçının. En az ayrıcalık ilkesini (POLP) kullanın.
  4. Sıfır tröst ilkelerini uygulayın: Her üçüncü taraf aracını dikkatli bir şekilde ele alın ve iş akışlarına entegre etmeden önce bütünlüğünü doğrulayın.
  5. Güvenlik tavsiyelerini izleyin: Potansiyel tehditler hakkında güncel kalmak için GitHub Güvenlik Danışmanları ve CISA uyarılarına abone olun.

Çözüm

TJ-Actions/Değişik Dosyalardan (CVE-2025-30066) uzlaşması, yazılım geliştirmede tedarik zinciri saldırılarının artan risklerinin altını çizen kritik bir güvenlik sorunudur. Github eylemleri süreçleri otomatikleştirmek için yaygın olarak kullanılırken, kuruluşlar bağımlılıkları düzenli olarak güncelleyerek, izinleri kısıtlayarak ve güvenlik açıklarını izleyerek güvenliğe öncelik vermelidir.

CISA’nın önerilerini takip ederek ve proaktif güvenlik önlemleri uygulayarak, geliştiriciler ve kuruluşlar gelecekte benzer saldırılar riskini azaltabilir.



Source link