Um vetor de ataque recém-descoberto em artefatos do GitHub Actions denominado Embalado em Arte poderia ser explorado para assumir o controle de repositórios e obter acesso aos ambientes de nuvem das organizações.
“Uma combinação de configurações incorretas e falhas de segurança pode fazer com que artefatos vazem tokens, tanto de serviços de nuvem de terceiros quanto de tokens do GitHub, tornando-os disponíveis para consumo por qualquer pessoa com acesso de leitura ao repositório”, disse o pesquisador da Unidade 42 da Palo Alto Networks, Yaron Avital, em um relatório publicado esta semana.
“Isso permite que agentes mal-intencionados com acesso a esses artefatos tenham o potencial de comprometer os serviços aos quais esses segredos concedem acesso.”
A empresa de segurança cibernética disse que observou principalmente o vazamento de tokens do GitHub (por exemplo, GITHUB_TOKEN e ACTIONS_RUNTIME_TOKEN), que não apenas dariam aos agentes mal-intencionados acesso não autorizado aos repositórios, mas também lhes dariam a capacidade de envenenar o código-fonte e enviá-lo para produção por meio de fluxos de trabalho de CI/CD.
Artefatos no GitHub permitem que os usuários compartilhem dados entre trabalhos em um fluxo de trabalho e persistam essas informações após sua conclusão por 90 dias. Isso pode incluir compilações, arquivos de log, dumps de núcleo, saídas de teste e pacotes de implantação.
O problema de segurança aqui é que esses artefatos estão disponíveis publicamente para qualquer pessoa no caso de projetos de código aberto, o que os torna um recurso valioso para extrair segredos como tokens de acesso do GitHub.
Em explicit, descobriu-se que os artefatos expõem uma variável de ambiente não documentada chamada ACTIONS_RUNTIME_TOKEN, que tem uma vida útil de cerca de seis horas e pode ser usada para substituir um artefato por uma versão maliciosa antes que ela expire.
Isso poderia abrir uma janela de ataque para execução remota de código quando os desenvolvedores baixassem e executassem diretamente o artefato desonesto ou quando houvesse um trabalho de fluxo de trabalho subsequente configurado para ser executado com base em artefatos enviados anteriormente.
Embora o GITHUB_TOKEN expire quando o trabalho termina, as melhorias feitas no recurso de artefatos com a versão 4 significam que um invasor pode explorar cenários de condições de corrida para roubar e usar o token baixando um artefato enquanto uma execução de fluxo de trabalho está em andamento.
O token furtado poderia ser usado posteriormente para enviar código malicioso para o repositório, criando uma nova ramificação antes que o trabalho do pipeline termine e o token seja invalidado. No entanto, esse ataque depende do fluxo de trabalho ter a permissão “contents: write”.
Vários repositórios de código aberto relacionados à Amazon Net Companies (AWS), Google, Microsoft, Pink Hat e Ubuntu foram considerados suscetíveis ao ataque. O GitHub, por sua vez, categorizou o problema como informativo, exigindo que os usuários assumam a responsabilidade de proteger seus artefatos enviados.
“A descontinuação do Artifacts V3 pelo GitHub deve levar as organizações que usam o mecanismo de artefatos a reavaliar a maneira como o usam”, disse Avital. “Elementos negligenciados, como artefatos de construct, geralmente se tornam alvos principais para invasores.”
