Los investigadores de la Unidad 42 descubren una vulnerabilidad crítica en las acciones de GitHub

Los investigadores de la Unidad 42 descubren una vulnerabilidad crítica en las acciones de GitHub

Investigadores del equipo de la Unidad 42 de Palo Alto Networks han descubierto un nuevo vector de ataque que podría comprometer los repositorios de GitHub. La vulnerabilidad, que explota los artefactos de GitHub Actions generados durante los flujos de trabajo de CI/CD, podría potencialmente otorgar acceso de alto nivel a entornos de nube. Los investigadores han descubierto que una combinación de configuraciones erróneas y fallas de seguridad pueden hacer que los artefactos filtren tokens, incluidos los de servicios en la nube de terceros y el propio GitHub. Estos tokens se vuelven accesibles para cualquier persona con acceso de lectura al repositorio, lo que permite a actores malintencionados comprometer potencialmente los servicios a los que estos secretos otorgan acceso. En la mayoría de los proyectos vulnerables descubiertos, la filtración más común involucró tokens de GitHub. Esto podría permitir a un atacante tomar medidas contra el repositorio de activación de GitHub, potencialmente enviando código malicioso que podría pasar a producción a través del proceso de CI/CD o accediendo a secretos almacenados en el repositorio y la organización de GitHub. Si bien la investigación se aplica a repositorios de GitHub públicos y privados, el equipo se centró en descubrir repositorios públicos vulnerables. Descubrieron proyectos de código abierto de alto perfil propiedad de algunas de las empresas más grandes del mundo, que podrían haber impactado potencialmente a millones de consumidores antes de la mitigación. Todos los casos revelados fueron informados a los encargados de estos proyectos, y los investigadores recibieron un excelente apoyo de todos los equipos. Siguió la colaboración para mitigar todos los hallazgos de forma rápida y eficiente. Los investigadores exploraron Workflow Artifacts, una característica de GitHub Actions que permite conservar y compartir datos entre trabajos dentro del mismo flujo de trabajo. Estos artefactos pueden incluir cualquier archivo generado durante el proceso de compilación, como código compilado, informes de prueba o paquetes de implementación. El equipo compiló una lista de proyectos populares de código abierto en GitHub y automatizó el proceso de descarga de sus artefactos y escaneo en busca de secretos. Su intuición resultó correcta, ya que encontraron tokens que funcionaban para varios servicios en la nube, incluida la transmisión de música y la infraestructura en la nube. Aún más interesante, descubrieron varios tokens de GitHub. Siguieron apareciendo dos tipos de tokens: GITHUB_TOKEN (con el prefijo ghs_) y ACTIONS_RUNTIME_TOKEN (un token JWT). Los investigadores descubrieron que estos tokens no formaban parte del código del repositorio, sino que solo se encontraban en los artefactos producidos por el repositorio. Identificaron que el comportamiento predeterminado de las acciones/pago ampliamente utilizadas de GitHub persiste en las credenciales, escribiendo GITHUB_TOKEN en el directorio git local. Muchos usuarios, sin saberlo, cargan todo el directorio de pago como un artefacto, incluida la carpeta .git oculta que contiene el GITHUB_TOKEN persistente. Esto conduce a artefactos de acceso público que contienen GITHUB_TOKEN. Otro problema surgió del uso de super-linter, un popular linter de código fuente abierto. Cuando su propiedad CREATE_LOG_FILE se establece en «True», crea un archivo de registro que incluye variables de entorno, lo que potencialmente expone tokens confidenciales. Los investigadores han desarrollado un método para abusar de los tokens de GitHub filtrados, específicamente ACTIONS_RUNTIME_TOKEN, que tiene una caducidad de aproximadamente seis horas. Automatizaron un proceso para descargar un artefacto, extraer el token y usarlo para reemplazar el artefacto por uno malicioso. El anuncio de GitHub de la versión 4 de la función de artefactos le permite descargar artefactos mientras se ejecuta el flujo de trabajo. Esto creó una posible condición de carrera, permitiendo que el GITHUB_TOKEN filtrado se descargara, extrajera y usara antes de que se terminara el trabajo y el token expirara. Crédito: Unidad 42 Los investigadores han explotado con éxito esta vulnerabilidad en varios proyectos de código abierto, incluidos aquellos operados por organizaciones importantes como Google, Microsoft, Red Hat y Canonical. Todos los proyectos de código abierto afectados trabajaron juntos rápidamente para parchear su código cuando se les contactó sobre el problema. Algunos incluso ofrecieron premios y productos como agradecimiento por hacer correr la voz. Para abordar estas preocupaciones, los investigadores desarrollaron una acción personalizada de prueba de concepto llamada upload-secure-artifact. Esta acción agrega una capa crucial de seguridad al verificar el directorio de origen en busca de secretos y bloquear la carga de artefactos cuando existe el riesgo de exposición accidental de secretos. Se alienta a las organizaciones que utilizan el mecanismo Artifacts a reevaluar su uso, especialmente a la luz de la desaprobación de Artifacts v3 por parte de GitHub. (Foto de Mohammad Rahmani) Ver también: Copilot Autofix de GitHub triplica la velocidad de corrección de vulnerabilidades ¿Quiere aprender más sobre ciberseguridad y la nube de la mano de los líderes de la industria? Consulte la Cyber ​​​​Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: codificación, ciberseguridad, ciberseguridad, desarrollo, git, github, acciones de GitHub, hacking, programación, repositorio, seguridad, unidad 42, vulnerabilidades

About Francisco

Check Also

La Linux Foundation Decentralized Trust apunta a la innovación web3

La Linux Foundation Decentralized Trust apunta a la innovación web3

La Linux Foundation Decentralized Trust tiene como objetivo fomentar la colaboración y la innovación en …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *