SYSDIG TRT, GitHub Eylemler iş akışlarındaki, Miter ve Splunk tarafından korunanlar da dahil olmak üzere birkaç yüksek profilli açık kaynak projesinin iş akışlarında kritik güvenlik açıklarını ortaya çıkardı.
CI/CD boru hatlarını otomatikleştirmek için popüler bir platform olan GitHub Actions, geliştiriciler için muazzam esneklik sunar, ancak uygunsuz bir şekilde yapılandırıldığında önemli güvenlik risklerini de barındırır.
Yüksek profilli projeler tehlikeye atıldı
Sysdig TRT’nin gerçek dünya tehditleri için proaktif avı, özellikle güvensiz iş akışlarının, özellikle de kullananların nasıl pull_request_target Tetikleyici, hassas sırlara ve yüksek ayrıcalıklı jetonlara erişmek için kullanılabilir ve potansiyel olarak tam depo devralmalarına yol açar.
.png
)
Bu keşif, en saygın açık kaynak topluluklarında bile CI/CD güvenlik uygulamalarında kalıcı bir boşluğun altını çizmektedir.
Bu güvenlik açıklarının çekirdeği, pull_request_target Depo sırlarına erişim ve varsayılan bir yüksek müstehcenlik ile temel şube bağlamında iş akışlarını çalıştıran Github Eylemlerinde Etkinlik GITHUB_TOKEN.
Daha güvenli olanın aksine pull_request Etkinlik, bu tetikleyici, kamu çatallarından güvenilmeyen kodları yürütebilir ve saldırganların kötü niyetli komut dosyaları enjekte etmeleri için doğrudan bir yol oluşturabilir.
Sömürme pull_request_target Kötü niyetli erişim için
Sysdig TRT, bu kusuru Spotify için bir Python kütüphanesi olan Spotipy-Dev/Spotipy gibi projelerde gösterdi, burada kötü niyetli bir setup.py Dosya Etkin bir bellek kesintisi komut dosyası aracılığıyla, kritik bir CVE ataması (CVE-2025-47928) kazanarak etkinleştirildi.
Benzer şekilde, Miter’in Siber Analitik Deposu (CAR), bağımlılık kurulum süreci boyunca neredeyse aynı sömürüye avlandı ve saldırganların ayrıcalıklı jetonları hasat etmesine izin verdi.
Splunk’s security_content Depo da çıkarılan hassas kimlik bilgilerini de ortaya çıkardı GITHUB_TOKEN salt okunur erişim için kapsamlı.
Sorumlu açıklamaya rağmen, etkilenen kuruluşlardan gelen yanıtlar değişti, Miter ve Spotipy iş akışlarını hızla yamalarken, Splunk’ın çözünürlük durumu bir düzeltmeye rağmen daha az net kaldı.
Sysdig TRT’nin temel sömürü tekniklerini kullanarak düzinelerce depoya eriştiği ve sistemik bir güvenlik sertleştirme eksikliğini ortaya çıkardığı için bu bulguların sonuçları derindir.
pull_request_target İş akışları genellikle güvenilmeyen kodu yeterli önlemler olmadan işler, API anahtarları gibi ayrıcalıkları artırabilen veya bir kuruluştaki yanal hareketi sağlayabilen sırları ortaya çıkarır.
Bu tür riskleri azaltmak için Sysdig, pull_request_target Kesinlikle gerekli ve tam olarak anlaşılmadıkça.
Daha güvenli alternatifler, iş akışlarını olgunlaşmamış ve ayrıcalıklı bileşenlere bölmek, pull_request İlk işleme ve kısıtlama etkinliği GITHUB_TOKEN İçeriğe salt okunur erişim gibi minimum seviyelere izin.
Falco Eylemleri gibi araçlarla çalışma zamanı tehdidi algılama gibi ek önlemler, yetkisiz ağ bağlantıları veya kimlik bilgisi hasadı gibi kötü niyetli davranışları tanımlayabilir – iş akışı yürütülmesi durumunda.
Bu olaylar, açık kaynak topluluğunun CI/CD güvenliğine öncelik vermesi için bir uyandırma çağrısı görevi görür ve güvenilir iş akışlarını daha geniş uzlaşma için giriş noktaları olarak kullanan tedarik zinciri saldırılarını önlemek için en iyi uygulamaları benimsemektedir.
Sysdig, güvenlik açıklarını gidermek için geliştiricilerle işbirliği yapmaya devam ettikçe, GitHub eylemlerini güvence altına alma aciliyeti, işbirlikçi yazılım geliştirmenin bütünlüğünü korumak için çok önemlidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin