恶意制造和更广泛的基础设施妥协是最坏的情况
安全研究人员已经确定了流行持续整合和开发中的多个工作流(CI/CD)Service GitHub操作,这些操作易于执行命令。
来自约会平台Tinder的研究团队制作了一个自动化脚本,该脚本发掘了缺陷,从而使秘密的渗透能够彻底渗透,这些秘密提供了对各种开源GitHub存储库的写入访问,包括Elastic的LogStash。
一个博客文章记录这些发现的是由Rojan Rijal,Johnny Nipper和Tanner Emek(Red Teamer),高级产品安全经理和Tinder的工程经理。
你可能还喜欢“专注于基础知识的光彩” - Github CSO Mike Hanley左转并保护软件供应链
三人告诉每日swbeplay2018官网ig“在最坏的情况下,您可以利用脆弱的工作流程来检索github_token值”,默认情况下已读/写入对存储库的访问。“这可以用来推动对用户的恶意构建并执行与供应链相关的利用。”
他们补充说,如果工作流程中更敏感的访问秘密,例如AWS凭据,API键或服务凭证,“这可能会导致公司基础架构的妥协”。
漏洞的最常见原因是运行脚本中的不安全用户输入。研究人员还发现了许多例子pull_request_target被滥用了,其中包括2019修复对于与在分叉存储库中使用事件处理程序有关的问题。
该研究的重点是具有脆弱性披露政策的项目,并对项目负责任地报告了经过验证的漏洞。研究人员说,弹性的安全团队迅速停用了脆弱的工作流程,并确认没有发生任何虐待。
GitHub工作流审核员
Tinder Security Labs已开源该工具用于研究。GitHub工作流审核员检查不安全用户输入,恶意提交和秘密的工作流程。
作者告诉每日swbeplay2018官网ig他们“专注于涵盖GitHub行动和效率中的大多数脆弱性案例。因此,我们允许组织通过提供GITHUB API密钥立即扫描所有存储库。这减少了安全团队的时间和精力”。
该工具还解决了由旧GitHub帐户运行操作的工作流程带来的供应链风险。研究人员解释说:“在这种情况下,攻击者可以声称帐户并采取恶意行动,使他们能够进入存储库及其工作流程。”“我们测试的工具没有涵盖这种特定情况。”
他们补充说:“我们在Tinder Labs的目标是确定各种具有全球影响的技术中的高影响力漏洞。当我们研究其他技术时,您可以期望将来看到更多的发现和工具。”
缓解
研究人员敦促开发人员在GitHub操作中正确消毒用户输入,并通过限制GitHub令牌的访问范围来减轻攻击。
同时,GitHub安全实验室拥有以前推荐那pull_request_target仅在开发人员“需要目标存储库的特权上下文”中使用。
Tinder Security Labs的发现遵循三月份的披露,该披露对造成关键缺陷在数十个存储库中,并在一月份进行了github动作修补代码审查保障旁路。
Github尚未回应每日swbeplay2018官网ig邀请发表评论。
