Google, Microsoft, AWS ve Red Hat'tan olanlar da dahil olmak üzere birçok yüksek profilli açık kaynaklı projenin, GitHub kimlik doğrulama jetonlarını CI/CD iş akışlarındaki GitHub Eylemleri eserleri aracılığıyla sızdırdığı bulundu.
Bu jetonları çalan saldırganlar, özel depolara yetkisiz erişim elde edebilir, kaynak kodunu çalabilir veya projelere kötü amaçlı kod enjekte edebilir.
Palo Alto Networks Birimi 42'nin keşfi, GitHub Eylemleri eserleri ile sırların sızdırıldığı popüler depoların sahipleri tarafından eylemi başlattı. Bununla birlikte, GitHub riski ele almamaya karar vererek, eserlerini güvence altına almak için kullanıcılara sorumluluğu üstlenerek altta yatan sorunlar sonuçlanmamıştır.
Durum göz önüne alındığında, Github kullanıcılarının riskleri anlamaları, maruz kalmalarını değerlendirmeleri ve gelecekte sızıntıları önlemek için önlemler almaları gerekir.
Ünite 42'nin raporu, güvensiz varsayılan ayarlar, kullanıcı yanlış yapılandırması ve yetersiz güvenlik kontrolleri gibi faktörlerin bir kombinasyonunu vurgular, bu da Github tokenlerinin "artepacked" saldırısı dedikleri şeyde sızmasına yol açabilir.
İlk risk noktası, depo kodunu klonlamak için GitHub iş akışlarında yaygın olarak kullanılan 'eylemler/ödeme' eylemidir, böylece iş akışı çalışması sırasında mevcut olur.
Varsayılan olarak, bu eylem, iş akışı içindeki kimlik doğrulamalı işlemler için gerektiği gibi yerel .git dizinine (Gizli) Github jetonunu devam eder.
Bir kullanıcı yanlışlıkla tüm ödeme dizinini bir eserin bir parçası olarak yüklerse, GIT klasörünün içindeki GitHub jetonu artık ortaya çıkar.
Bu klasörde bulunabilecek diğer hassas bilgiler arasında API anahtarları, bulut hizmeti erişim belirteçleri ve çeşitli hesap kimlik bilgileri bulunur.
Hatalı artefakt yüklemeleri ile benzer bir maruz kalma, CI/CD işlemi sırasında üretilen ve üç aya kadar depolanan ve erişilebilen yapı çıktıları ve test sonuçları gibi artefaktlar tarafından gerçekleşebilir.
Bir başka arıza noktası, Github jetonlarını depolamak için ortam değişkenlerini kullanan CI/CD boru hatlarıdır. İş akışındaki eylemler veya komut dosyaları bu değişkenleri kasıtlı olarak veya yanlışlıkla günlüğe kaydediyorsa, günlükler eser olarak yüklenir.
Ünite 42, 'Süper Linter' eyleminin, 'Create_Log_File' özelliği 'True' olarak ayarlandığında ortam varyantlarını içeren ayrıntılı günlükler oluşturabileceğini not eder.
Nihayetinde, saldırganlar geçici Github belirteçlerinin kütüklerden çıkarılması ve süresi dolmadan kullanılması gereken belirli yarış koşulu senaryolarından yararlanmaya çalışacaklardır.
Github jetonları iş akışı işinin süresi boyunca geçerlidir, bu nedenle sömürü potansiyelleri dava başına değişir.
GitHub tarafından artefaktları önbellekleme ve yönetmek için dahili olarak kullanılan 'action_runtime_token' genellikle altı saat boyunca geçerlidir, bu nedenle sömürü penceresi küçüktür.
API tuşları veya bulut hizmetleri için erişim belirteçleri gibi özel sırlar ve jetonlar, birkaç dakikadan asla süresi dolmayacak değişen ömürlere sahiptir.
Ünite 42, GitHub eylemlerini kullanan ve bunları eser üretim olasılığını artıran kriterler için taramak için otomatik komut dosyalarını kullanan projeleri veya kamu depolarını tanımlayan bir saldırı senaryosu sunar.
Farklı bir komut dosyası kümesi, kamu depoları durumunda basit bir süreç olan hedef depoların CI/CD boru hatlarından eserleri otomatik olarak indirebilir. Sonra, onları sırlar için inceleyecekti.
Ünite 42, GitHub jetonları ile eserleri ortaya çıkaran aşağıdaki 14 büyük açık kaynak projesi vakasını tanımladı ve etkilenen partilere iyileştirme için bildirdi:
Genel olarak, GitHub kullanıcılarının yüklenen eserlere tüm dizinleri dahil etmemeleri, günlükleri sterilize etmesi ve CI/CD boru hattı konfigürasyonlarını düzenli olarak gözden geçirmeleri önerilir.
'Eylemler/ödeme' gibi tehlikeli eylemler için varsayılan ayarlar ayarlanmalıdır, böylece kimlik bilgileri devam etmez. Ayrıca, iş akışlarında kullanılan jeton izinleri, maruz kalmaları durumunda hasarı sınırlamak için gereken en az ayrıcalık olarak ayarlanmalıdır.
ADT, Hacking Forum'da sızdırıldıktan sonra veri ihlalini teyit eder
Hackerlar Gizli Bağlantılar için Bulutflare Tüneli'ni giderek daha fazla kötüye kullanın
Kötü amaçlı yazılım dağıtım hizmeti tarafından kullanılan 3.000'den fazla GitHub hesabı
Bilgisayar üreticisi Zotac, Google Arama hakkında müşterilerin RMA bilgilerini ortaya çıkardı
Kimliğinizi sitelerle güvenli bir şekilde doğrulayan Android Testleri için Chrome özelliği
Kaynak: Bleeping Computer