Güvenlik araştırmacıları GitHub’ın Actions özelliğinde bir güvenlik açığı keşfetti. GitHub Actions eserleri, kuruluşların CI/CD iş akışlarının bir parçası olarak üretilir ve yanlış yapılandırmalar ile güvenlik açıklarının birleşimi, tokenların eser sızıntısına yol açabilir.
“ArtiPACKED” olarak adlandırılan bu istismar, GitHub’ın yapıt sistemindeki bir yarış koşulunu kullanarak saldırganların depoları tehlikeye atmasına ve yaygın olarak kullanılan yazılımlara kötü amaçlı kod enjekte etmesine olanak tanıyor.
CI/CD süreçleri sırasında oluşturulan iş akışı yapıtları içindeki GitHub belirteçlerinin yanlış kullanımı bir güvenlik açığına yol açtı. Yapı çıktılarını ve test sonuçlarını depolamak için tasarlanan bu yapıtlar, yanlışlıkla depolara erişim izni veren hassas belirteçleri ele geçirdi.
Bu durum, bu eserlere erişimi olan kötü niyetli aktörlerin, bu sırların erişim sağladığı hizmetleri tehlikeye atma potansiyeline sahip olmasına neden olur.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
GitHub bu token’ların hızla sona ermesini sağlayacak şekilde tasarlamış olsa da, son yapılan artifact sistem güncellemesi saldırganlar için dar bir fırsat penceresi oluşturdu.
Araştırmacılar, “Sonraki iş akışı işleri genellikle daha önce yüklenen eserlere dayanır. Bu tür durumlar, kötü amaçlı eseri tüketen işi çalıştıran çalıştırıcıda uzaktan kod yürütme (RCE) için kapıyı açar” dedi.
Bu açığı kullanan araştırmacılar, aktif GitHub token’larını içeren eserleri son kullanma tarihleri dolmadan önce indirme yeteneğini gösterdiler. Bir kavram kanıtı saldırısında, Google, Microsoft ve Red Hat gibi teknoloji devleri tarafından yönetilenler de dahil olmak üzere yüksek profilli açık kaynaklı projelerde yetkisiz şubeler oluşturmayı başardılar.
Bu güvenlik açığının etkisi çok geniş kapsamlıdır. Etkilenen projeler arasında Google’ın firebase-js-sdk’sı, 1,6 milyon genel proje tarafından başvurulan bir JavaScript paketi de vardı. Kurumsal ortamlarda Active Directory entegrasyonu için kullanılan Ubuntu’nun adsys aracı da güvenlik açığına sahipti.
Güvenlik uzmanları bu açığın potansiyel olarak CI/CD çalıştırıcılarında veya hatta geliştirici iş istasyonlarında uzaktan kod yürütülmesine yol açabileceği konusunda uyarıyor. Daha da endişe verici olanı, saldırganların incelenmemiş kodu doğrudan depolara iterek normal güvenlik kontrollerini atlatabilmesidir.
Keşfin arkasındaki araştırmacı, Palo Alto Networks ile çalışarak riski azaltmak için “upload-secure-artifact” adlı özel bir GitHub eylemi geliştirdi. Bu araç, yüklemeden önce olası gizli sızıntılar için eserleri tarayarak iş akışı sürecine temel bir güvenlik katmanı ekler.
GitHub, sorunu “bilgilendirici” olarak sınıflandırarak, kullanıcıların eserlerini güvence altına alma sorumluluğunu onlara yükledi. Ancak güvenlik topluluğu, yaygın etki ve istismar kolaylığı göz önüne alındığında, bu yanıtın yetersiz olabileceğini savunuyor.
Açık kaynak topluluğu bu gerçekle boğuşurken, proje yöneticilerinin GitHub Actions iş akışlarını gözden geçirmeleri, izinleri en aza indirmeleri ve ek güvenlik önlemleri uygulamaları isteniyor.
“Bu araştırmanın gösterdiği gibi, eser taramasıyla ilgili mevcut güvenlik görüşmelerinde bir boşluk var. GitHub’ın Artifacts V3’ü kullanımdan kaldırması, eser mekanizmasını kullanan kuruluşları onu kullanma biçimlerini yeniden değerlendirmeye teşvik etmelidir.”
Rapor GitHub’ın hata ödül programında paylaşıldı. Sorunu bilgilendirici olarak sınıflandırdılar ve yükledikleri eserleri güvence altına alma sorumluluğunu kullanıcılara yüklediler.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces