Um novo vetor de ataque descoberto nos artefatos do GitHub Actions, apelidado de ArtiPACKED, poderia ser explorado para assumir o controle de repositórios e ganhar acesso aos ambientes de nuvem das organizações.
"Uma combinação de má configuração e falhas de segurança podem fazer com que artefatos vazem tokens, tanto de serviços de nuvem de terceiros quanto tokens do GitHub, disponibilizando-os para qualquer pessoa com acesso de leitura ao repositório consumir", disse o pesquisador da Palo Alto Networks Unit 42, Yaron Avital, em um relatório publicado esta semana.
Isso permite que atores maliciosos com acesso a esses artefatos tenham o potencial de comprometer os serviços aos quais esses segredos concedem acesso.
A empresa de cibersegurança disse que observou principalmente o vazamento de tokens do GitHub (por exemplo, GITHUB_TOKEN e ACTIONS_RUNTIME_TOKEN), o que poderia não apenas dar aos atores maliciosos acesso não autorizado aos repositórios, mas também permitir-lhes envenenar o código-fonte e fazê-lo ser empurrado para a produção por meio de fluxos de trabalho CI/CD.
Artefatos no GitHub permitem que usuários compartilhem dados entre trabalhos em um fluxo de trabalho e persistam essa informação depois que ele foi completado por 90 dias.
Isso pode incluir construções, arquivos de log, dumps de núcleo, saídas de testes e pacotes de implantação.
O problema de segurança aqui é que esses artefatos estão publicamente disponíveis para qualquer pessoa no caso de projetos de código aberto, tornando-os um recurso valioso para extrair segredos como tokens de acesso ao GitHub.
Especificamente, descobriu-se que os artefatos expõem uma variável de ambiente não documentada chamada ACTIONS_RUNTIME_TOKEN, que tem uma vida útil de cerca de seis horas e poderia ser usada para substituir um artefato por uma versão maliciosa antes que expire.
Isso, então, poderia abrir uma janela de ataque para execução de código remoto quando os desenvolvedores baixam e executam diretamente o artefato vilão ou existe um trabalho de fluxo subsequente que está configurado para ser executado com base em artefatos previamente carregados.
Enquanto o GITHUB_TOKEN expira quando o trabalho termina, melhorias feitas no recurso de artefatos com a versão 4 significou que um atacante poderia explorar cenários de condição de corrida para roubar e usar o token baixando um artefato enquanto uma execução de fluxo de trabalho está em progresso.
O token roubado poderia ser subsequentemente usado para empurrar código malicioso para o repositório criando um novo ramo antes que o trabalho do pipeline termine e o token seja invalidado.
No entanto, esse ataque depende do fluxo de trabalho ter a permissão "contents: write".
Vários repositórios de código aberto relacionados à Amazon Web Services (AWS), Google, Microsoft, Red Hat e Ubuntu foram encontrados suscetíveis ao ataque.
O GitHub, por sua parte, categorizou o problema como informativo, exigindo que os usuários assumam a responsabilidade de proteger seus artefatos carregados.
"A descontinuação dos Artifacts V3 do GitHub deve estimular as organizações que usam o mecanismo de artefatos a reavaliar a maneira como o utilizam", disse Avital.
Elementos negligenciados como artefatos de construção muitas vezes se tornam alvos principais para os atacantes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...