تعرض الثغرة الأمنية في GitHub “ArtiPACKED” المستودعات لعملية استحواذ محتملة
ناقل هجوم تم اكتشافه حديثًا في عناصر GitHub Actions المدبلجة أرتيباكد يمكن استغلالها للاستيلاء على المستودعات والوصول إلى البيئات السحابية الخاصة بالمؤسسات.
“إن مجموعة من التكوينات الخاطئة والعيوب الأمنية يمكن أن تؤدي إلى تسرب الرموز المميزة، لكل من الخدمات السحابية التابعة لجهات خارجية ورموز GitHub، مما يجعلها متاحة لأي شخص لديه حق الوصول للقراءة إلى المستودع لاستهلاكها،” يارون أفيتال، الباحث في وحدة Palo Alto Networks Unit 42 قال في تقرير نشر هذا الأسبوع.
“وهذا يسمح للجهات الفاعلة الخبيثة بالوصول إلى هذه القطع الأثرية وإمكانية المساس بالخدمات التي تمنحها هذه الأسرار الوصول إليها.”
قالت شركة الأمن السيبراني إنها لاحظت في المقام الأول تسرب رموز GitHub المميزة (على سبيل المثال، GITHUB_TOKEN وACTIONS_RUNTIME_TOKEN)، والتي لا يمكن أن تمنح الجهات الفاعلة الخبيثة وصولاً غير مصرح به إلى المستودعات فحسب، بل تمنحهم أيضًا القدرة على تسميم كود المصدر ودفعه إلى الإنتاج عبر سير عمل CI/CD.
التحف في جيثب يسمح للمستخدمين مشاركة البيانات بين الوظائف في سير العمل والاحتفاظ بهذه المعلومات بعد اكتمالها لمدة 90 يومًا. يمكن أن يشمل ذلك الإصدارات وملفات السجل وعمليات التفريغ الأساسية ومخرجات الاختبار وحزم النشر.
المشكلة الأمنية هنا هي أن هذه القطع الأثرية متاحة للعامة لأي شخص في حالة المشاريع مفتوحة المصدر، مما يجعلها موردًا قيمًا لاستخراج الأسرار مثل رموز الوصول إلى GitHub.
على وجه الخصوص، تم العثور على القطع الأثرية للكشف عن متغير بيئة غير موثق يسمى ACTIONS_RUNTIME_TOKEN، والذي يبلغ عمره حوالي ست ساعات ويمكن استخدامه لاستبدال قطعة أثرية بإصدار ضار قبل انتهاء صلاحيتها.
يمكن أن يؤدي هذا بعد ذلك إلى فتح نافذة هجوم لتنفيذ التعليمات البرمجية عن بعد عندما يقوم المطورون بتنزيل العناصر المارقة وتنفيذها مباشرة أو عندما تكون هناك مهمة سير عمل لاحقة تم تكوينها للتشغيل بناءً على العناصر التي تم تحميلها مسبقًا.
بينما تنتهي صلاحية GITHUB_TOKEN بانتهاء المهمة، فإن التحسينات التي تم إجراؤها على القطع الأثرية تتميز بـ الإصدار 4 يعني أنه يمكن للمهاجم استغلال سيناريوهات حالة السباق لسرقة الرمز المميز واستخدامه عن طريق تنزيل قطعة أثرية أثناء تشغيل سير العمل.
يمكن استخدام الرمز المميز المسروق لاحقًا لدفع التعليمات البرمجية الضارة إلى المستودع عن طريق إنشاء فرع جديد قبل انتهاء مهمة خط الأنابيب وإبطال الرمز المميز. ومع ذلك، فإن هذا الهجوم يفرض على سير العمل إذن “المحتويات: الكتابة”.
تم العثور على عدد من المستودعات مفتوحة المصدر المتعلقة بـ Amazon Web Services (AWS) وGoogle وMicrosoft وRed Hat وUbuntu عرضة للهجوم. من جانبها، صنفت GitHub المشكلة على أنها إعلامية، مما يتطلب من المستخدمين أن يأخذوا على عاتقهم تأمين العناصر التي تم تحميلها.
وقال أفيتال: “إن إهمال GitHub لـ Artifacts V3 يجب أن يدفع المؤسسات التي تستخدم آلية المصنوعات إلى إعادة تقييم الطريقة التي تستخدمها بها”. “غالبًا ما تصبح العناصر التي يتم التغاضي عنها مثل القطع الأثرية أهدافًا رئيسية للمهاجمين.”
إرسال التعليق