该漏洞是在GitHub的拉申请机制中发现的
允许攻击者披露的安全漏洞动作GitHub存储库中的秘密已经修补,发现该错误的研究人员获得了25,000美元。
3月17日,Bug Bounty Hunter和Google员工Teddy Katz出版了写作在存储库与组织的工作流动自动化软件GitHub Action之间的通信系统中发现的GitHub漏洞。
跟踪为CVE-2021-22862,安全缺陷被描述为不当访问控制漏洞“允许经过身份验证的用户能够分叉存储库来披露叉子父存储库的动作秘密”。
有关的GitHub释放有关种族条件脆弱性的验尸,强迫全局用户登录
Katz检查了GitHub如何管理拉力请求。每个拉的请求旨在具有一个基本分支(基本参考),这通常是存储库的主要分支。
拉请求创建者可以设置基本参考指针。但是,那错误赏金亨特(Hunter)意识到有可能将分支设置为提交,尽管这导致了由于合并而导致的错误,但Github Actions的权限模型将该错误变成了更严重的问题。
偷秘密
在github动作, pull requests – used to trigger an automatic response – are treated as special cases, but to stop pull request authors from accessing repository secrets, GitHub implements merge pull request simulations, and Actions workflows are based on the configuration of a pull request’s base branch.
至少,除非您将基本参考变成提交,否则首先。
根据Katz的说法,这“打破了GitHub动作权限模型”,并绕过了动作的秘密限制。
“由于基本分支是基本存储库本身的一部分,而不是叉子的一部分,因此触发的工作流程pull_request_target被信任并运行,可以访问秘密。”研究人员解释说。
“我们刚刚创建了一个拉动请求,基本分支是提交哈希,而不是分支。任何人都可以在基本存储库中创建新的提交哈希,因为Github分享了叉子之间的承诺。”
攻击者可以分叉使用GitHub操作,创建拉动请求,然后设置恶意操作工作流程并单独将其提交给叉子 - 在此过程中获取对存储库秘密的访问。
利用警告
利用漏洞存在局限性。一个攻击者需要能够在目标存储库中创建叉子,并且在攻击尝试之前,存储库必须使用GitHub操作。
这脆弱性was first disclosed to GitHub’s security team via the HackerOne bug bounty platform on February 4, 2021. The issue was triaged and “partially patched” on the same day by preventing Actions builds from triggering a pull request with a base ref consisting of a 40-character commit hash.
你可能还喜欢GitHub动作平台容易受到代码注入攻击的影响
但是,如果将基本裁判设置为毛刺或其他符号引用,则该漏洞仍然可以利用。卡兹再次向Github报告了他的发现,几个小时后,将修复程序推出了Github.com域。
此外,3月2日,在GitHub Enterprise Server 3.0.1中推出了该漏洞的修复程序。
现实世界的影响
讲话每日swbeplay2018官网ig卡茨说,尽管他没有自己进行尝试,但他认为现实世界中的攻击“可能是可行的” - 尽管可能存在诸如滥用检测机制或速率限制之类的障碍。
“很难掩饰恶意软件长期以来 - 根据维护者/NPM安全团队能够做出回应的速度,几乎可以在几个小时或几天内未发表恶意包裹。”
“一旦这样利用,基本的github漏洞也可能会被注意到并固定。这将限制有多少人实际下载恶意软件。也就是说,即使在流行的包裹中使用恶意软件几个小时,仍然可能造成很大的损失。”
卡茨为他的报告获得了25,000美元的Bug Bounty奖励。
Github产品安全工程总监Greg Ose告诉每日swbeplay2018官网ig:“对我们的Bug Bounty计划的每次提交都是使GitHub,我们的产品和客户更安全的机会。
“泰迪·卡兹(Teddy Katz)的最新发现展示了创造力和技术知识研究人员为我们的计划带来的,以及为什么我们继续与安全研究界互动。”
11月,Google项目零研究员Felix Wilhelm披露了github动作中的设计缺陷攻击者可以利用这可以确保对存储库的写入访问权限并揭露加密秘密。
