Um novo vetor de ataque identificado nos artefatos do GitHub Actions, chamado ArtiPACKED, pode ser explorado para comprometer repositórios e obter acesso aos ambientes de nuvem de organizações.
"Uma combinação de configurações inadequadas e falhas de segurança pode resultar no vazamento de tokens, tanto de serviços de nuvem de terceiros quanto do próprio GitHub, permitindo que qualquer pessoa com acesso de leitura ao repositório os utilize", explicou o pesquisador Yaron Avital, da Palo Alto Networks Unit 42, em um relatório publicado recentemente.
"Isso possibilita que hackers, ao acessarem esses artefatos, comprometam os serviços aos quais esses segredos garantem acesso."
A empresa de segurança cibernética destacou que tem observado, principalmente, o vazamento de tokens do GitHub, como GITHUB_TOKEN e ACTIONS_RUNTIME_TOKEN. Isso não apenas poderia permitir que invasores obtivessem acesso não autorizado aos repositórios, mas também lhes daria a capacidade de injetar código malicioso no fluxo de produção por meio de pipelines de CI/CD.
Os artefatos no GitHub são usados para compartilhar dados entre tarefas em um fluxo de trabalho e armazenar essas informações por até 90 dias após a conclusão. Isso inclui compilações, arquivos de log, despejos de núcleo, resultados de testes e pacotes de implantação.
O problema de segurança reside no fato de que esses artefatos, em projetos de código aberto, estão disponíveis publicamente, tornando-os alvos valiosos para a extração de segredos, como tokens de acesso ao GitHub.
Em particular, foi descoberto que os artefatos expõem uma variável de ambiente não documentada, chamada ACTIONS_RUNTIME_TOKEN, que possui uma vida útil de aproximadamente seis horas e pode ser usada para substituir um artefato por uma versão maliciosa antes de expirar.
Isso poderia abrir uma brecha para a execução remota de código, caso os desenvolvedores baixem e executem o artefato malicioso diretamente, ou se houver um trabalho subsequente no fluxo de trabalho configurado para rodar com base em artefatos carregados anteriormente.
Embora o GITHUB_TOKEN expire ao término do trabalho, melhorias na versão 4 do recurso de artefatos permitem que um invasor explore condições de corrida para roubar e usar o token, baixando um artefato enquanto um fluxo de trabalho ainda está em execução.
O token roubado pode ser usado posteriormente para enviar código malicioso ao repositório, criando uma nova ramificação antes que o pipeline termine e o token seja invalidado. No entanto, esse ataque depende da permissão "contents: write" no fluxo de trabalho.
Vários repositórios de código aberto associados ao Amazon Web Services (AWS), Google, Microsoft, Red Hat e Ubuntu foram identificados como vulneráveis a esse ataque. O GitHub, por sua vez, classificou o problema como informativo, ressaltando que cabe aos usuários a responsabilidade de proteger seus artefatos carregados.
"A descontinuação do GitHub Artifacts V3 deve levar as organizações a reavaliar como utilizam o mecanismo de artefatos", alertou Avital. "Elementos negligenciados, como artefatos de construção, frequentemente se tornam os principais alvos de invasores."
Via - THN
Comments