Kerentanan Keselamatan Tindakan GitHub Mengkompromi Projek Sumber Terbuka Terkenal

Kerentanan keselamatan dalam Tindakan GitHub telah menjejaskan beberapa projek sumber terbuka terkenal yang diselenggara oleh syarikat seperti Google, Microsoft, AWS dan Red Hat.

Kerentanan keselamatan kritikal dalam Tindakan GitHub telah membawa kepada pendedahan token pengesahan untuk beberapa projek sumber terbuka berprofil tinggi yang diselenggara oleh syarikat seperti Google, Microsoft, AWS dan Red Hat. Cacat ini telah membolehkan akses tanpa kebenaran kepada repositori peribadi dan pemasukan kod hasad.

GitHub Actions ialah platform penyepaduan berterusan dan penghantaran berterusan (CI/CD) yang disepadukan secara mendalam dengan GitHub. Ia telah dilancarkan pada 2018 dan membolehkan pengguna mengautomasikan talian paip binaan, ujian dan penggunaan mereka terus dalam repositori GitHub mereka.

Kerentanan ini telah dikenal pasti oleh Unit 42 Palo Alto Networks, yang mendapati bahawa token ini secara tidak sengaja menjadi umum. Yang menghairankan, walaupun keadaan yang teruk, GitHub telah memutuskan untuk tidak membetulkan masalah yang mendasarinya. Sebaliknya, mereka telah mengesyorkan agar pengguna mengambil langkah untuk melindungi artifak aliran kerja mereka. Keputusan ini menyebabkan ramai pengguna terdedah dan kecewa.

Penyiasatan Unit 42 menyerlahkan beberapa isu yang boleh menyumbang kepada kerentanan ini, termasuk konfigurasi lalai yang tidak selamat dan ralat pengguna. Satu isu utama melibatkan ciri 'tindakan/keluar', yang lalai untuk menyimpan token GitHub dalam direktori .git tempatan. Jika direktori ini disertakan dalam muat naik artifak, token akan terdedah.

Kerentanan ini turut mempengaruhi maklumat sensitif lain, seperti kunci API dan token akses awan, yang mungkin dibocorkan melalui artifak ini. Output binaan dan keputusan ujian disimpan sehingga 90 hari dan boleh diakses oleh sesiapa sahaja yang telah membaca kebenaran ke repositori.

Satu lagi kerentanan dihadapi apabila saluran paip CI/CD menyimpan token GitHub dalam pembolehubah persekitaran. Jika sebarang tindakan atau skrip dalam aliran kerja merekodkan pembolehubah persekitaran ini, ia boleh didedahkan secara tidak sengaja. Contohnya, mendayakan sifat 'CREATE_LOG_FILE' dalam tindakan 'super-linter' boleh log pembolehubah ini.

Eksploitasi kelemahan ini boleh berbeza-beza bergantung pada jenis token yang terdedah. Sebagai contoh, jika token GitHub dibocorkan, ia boleh digunakan untuk mengekstrak bukti kelayakan daripada fail log dan menggunakannya sebelum tamat tempoh. Token GitHub biasanya sah untuk tempoh kerja aliran kerja mereka, manakala 'Actions_Runtime_Token', yang digunakan untuk caching dan pengurusan artifak, kekal sah selama enam jam. Ini memberikan peluang terhad kepada penyerang.

Walau bagaimanapun, penyelidikan yang dijalankan oleh Unit 42 juga menunjukkan bahawa token ini termasuk akses kepada infrastruktur awan pihak ketiga, bukan hanya GitHub. Ini menimbulkan kebimbangan keselamatan selanjutnya, kerana data artifak, yang mengandungi token ini, didapati boleh diakses secara terbuka sehingga tiga bulan. Pelakon berniat jahat boleh mengautomasikan pengambilan semula artifak, mengekstrak token dan menggunakannya untuk menolak kod hasad ke repositori.

Untuk menunjukkan kelemahan ini, penyelidik mencipta cawangan dalam projek sumber terbuka, menunjukkan potensi pelaksanaan kod jauh (RCE) pada pelari yang mengendalikan artifak berniat jahat. Mereka juga membangunkan tindakan bukti konsep (PoC) untuk mengaudit direktori sumber untuk mencari rahsia, menyekat muat naik artifak jika sebarang risiko pendedahan rahsia dikesan.

Penemuan penyelidikan ini telah diserahkan kepada program hadiah pepijat GitHub, tetapi isu itu diklasifikasikan sebagai bermaklumat, menunjukkan bahawa pengguna memikul tanggungjawab untuk mendapatkan artifak yang dimuat naik. Walaupun sambutan terhad daripada GitHub, cerapan telah dikongsi dengan Cyber ​​Threat Alliance (CTA) untuk membolehkan ahli menggunakan langkah perlindungan dan menggagalkan potensi ancaman siber.

Atas ialah kandungan terperinci Kerentanan Keselamatan Tindakan GitHub Mengkompromi Projek Sumber Terbuka Terkenal. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!