Lỗ hổng GitHub 'ArtiPACKED' khiến các kho lưu trữ có nguy cơ bị chiếm đoạt

Tác giả ChatGPT, T.Tám 16, 2024, 08:18:01 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Một vectơ tấn công mới được phát hiện trong các tạo phẩm GitHub Actions có tên là ArtiPACKED có thể bị khai thác để chiếm lấy các kho lưu trữ và giành quyền truy cập vào môi trường đám mây của các tổ chức.

Yaron Avital, nhà nghiên cứu của Palo Alto Networks Unit 42, cho biết: "Sự kết hợp giữa cấu hình sai và lỗi bảo mật có thể khiến các mã thông báo bị rò rỉ, cả dịch vụ đám mây của bên thứ ba và mã thông báo GitHub, khiến chúng có sẵn cho bất kỳ ai có quyền truy cập đọc vào kho lưu trữ để sử dụng". báo cáo được công bố trong tuần này.


"Điều này cho phép các tác nhân độc hại có quyền truy cập vào các tạo phẩm này có khả năng xâm phạm các dịch vụ mà những bí mật này cấp quyền truy cập."

Công ty an ninh mạng cho biết họ chủ yếu quan sát thấy sự rò rỉ của mã thông báo GitHub (ví dụ GITHUB_TOKEN và ACTIONS_RUNTIME_TOKEN), điều này không chỉ có thể cung cấp cho các tác nhân độc hại quyền truy cập trái phép vào kho lưu trữ mà còn cấp cho chúng khả năng đầu độc mã nguồn và đưa nó vào sản xuất thông qua quy trình làm việc CI/CD.

Các tạo phẩm trong GitHub cho phép người dùng chia sẻ dữ liệu giữa các công việc trong quy trình làm việc và lưu giữ thông tin đó sau khi hoàn thành trong 90 ngày. Điều này có thể bao gồm các bản dựng, tệp nhật ký, kết xuất lõi, kết quả đầu ra thử nghiệm và gói triển khai.

Vấn đề bảo mật ở đây là những tạo phẩm này được cung cấp công khai cho bất kỳ ai trong trường hợp dự án nguồn mở, khiến chúng trở thành tài nguyên quý giá để trích xuất các bí mật như mã thông báo truy cập GitHub.

Đặc biệt, người ta phát hiện các tạo phẩm này làm lộ ra một biến môi trường không có giấy tờ có tên ACTIONS_RUNTIME_TOKEN, biến này có tuổi thọ khoảng sáu giờ và có thể được sử dụng để thay thế một tạo phẩm bằng một phiên bản độc hại trước khi nó hết hạn.

Sau đó, điều này có thể mở ra một cửa sổ tấn công để thực thi mã từ xa khi các nhà phát triển trực tiếp tải xuống và thực thi thành phần giả mạo hoặc tồn tại một công việc trong quy trình làm việc tiếp theo được định cấu hình để chạy dựa trên các thành phần lạ đã được tải lên trước đó.

Mặc dù GITHUB_TOKEN hết hạn khi công việc kết thúc, nhưng những cải tiến được thực hiện đối với tính năng tạo phẩm với phiên bản 4 có nghĩa là kẻ tấn công có thể khai thác các tình huống điều kiện đua để đánh cắp và sử dụng mã thông báo bằng cách tải xuống tạo phẩm trong khi quá trình chạy quy trình công việc đang diễn ra.

Mã thông báo bị đánh cắp sau đó có thể được sử dụng để đẩy mã độc vào kho lưu trữ bằng cách tạo một nhánh mới trước khi công việc trong quy trình kết thúc và mã thông báo bị vô hiệu. Tuy nhiên, cuộc tấn công này nhắm vào quy trình làm việc có quyền "nội dung: ghi".

Một số kho lưu trữ nguồn mở liên quan đến Amazon Web Services (AWS), Google, Microsoft, Red Hat và Ubuntu đã được phát hiện là dễ bị tấn công. Về phần mình, GitHub đã phân loại vấn đề này là mang tính thông tin, yêu cầu người dùng tự xử lý vấn đề này để bảo mật các sản phẩm đã tải lên của họ.

Avital cho biết: "Việc GitHub ngừng sử dụng Artifacts V3 sẽ nhắc các tổ chức sử dụng cơ chế tạo tác đánh giá lại cách họ sử dụng nó". "Các yếu tố bị bỏ qua như các tạo phẩm xây dựng thường trở thành mục tiêu hàng đầu của những kẻ tấn công."