Un vector de ataque recientemente descubierto en artefactos de GitHub Actions denominado ArtiEMBALADO podría aprovecharse para tomar el control de los repositorios y acceder a los entornos de nube de las organizaciones.
«Una combinación de configuraciones erróneas y vulnerabilidades de seguridad puede causar que se filtren tokens de artefactos, tanto de servicios en la nube de terceros como de tokens de GitHub, poniéndolos a disposición de cualquier persona con acceso de lectura al repositorio para su consumo», dijo el investigador de la Unidad 42 de Palo Alto Networks. Yarón Avital. dicho en un informe publicado esta semana.
“Esto permite que actores maliciosos con acceso a estos artefactos comprometan potencialmente los servicios a los que estos secretos brindan acceso. »
La compañía de ciberseguridad dijo que observó principalmente la filtración de tokens de GitHub (por ejemplo, GITHUB_TOKEN y ACTIONS_RUNTIME_TOKEN), que no solo podrían otorgar a actores maliciosos acceso no autorizado a los repositorios, sino también darles la capacidad de envenenar el código fuente y llevarlo a producción a través de CI/ Flujos de trabajo de CD.
Artefactos en GitHub permitir Los usuarios pueden compartir datos entre tareas en un flujo de trabajo y conservar esta información una vez finalizada durante 90 días. Esto puede incluir compilaciones, archivos de registro, volcados de núcleo, resultados de pruebas y paquetes de implementación.
El problema de seguridad aquí es que estos artefactos están disponibles públicamente para cualquier persona en el caso de proyectos de código abierto, lo que los convierte en un recurso valioso para extraer secretos como los tokens de acceso de GitHub.
En particular, se descubrió que los artefactos exponían una variable de entorno no documentada llamada ACTIONS_RUNTIME_TOKEN, que tiene una vida útil de aproximadamente seis horas y podría usarse para reemplazar un artefacto con una versión maliciosa antes de que caduque.
Esto podría abrir una ventana de ataque para la ejecución remota de código cuando los desarrolladores descargan y ejecutan directamente el artefacto malicioso o cuando hay un trabajo de flujo de trabajo posterior configurado para ejecutarse en función de lo descargado previamente.
Aunque GITHUB_TOKEN caduca cuando se completa el trabajo, se han realizado mejoras en la funcionalidad de los artefactos con versión 4 Esto significa que un atacante podría aprovechar escenarios de condiciones de carrera para robar y usar el token descargando un artefacto mientras se ejecuta un flujo de trabajo.
El token robado podría luego usarse para enviar código malicioso al repositorio mediante la creación de una nueva rama antes de que se complete el trabajo de canalización y se invalide el token. Sin embargo, este ataque depende de que el flujo de trabajo tenga el permiso «contenido:escribir».
Varios repositorios de código abierto relacionados con Amazon Web Services (AWS), Google, Microsoft, Red Hat y Ubuntu han sido identificados como vulnerables al ataque. GitHub, por su parte, clasificó el problema como informativo, lo que requiere que los usuarios se encarguen de proteger los artefactos que han subido.
«El abandono de Artifacts V3 por parte de GitHub debería impulsar a las organizaciones que utilizan el mecanismo de artefactos a reevaluar cómo lo utilizan», dijo Avital. “Los elementos que se pasan por alto, como los artefactos de construcción, a menudo se convierten en objetivos principales para los atacantes. »
