Software projecten lopen veiligheidsrisico's door onveilige artifact downloads via GitHub Actions

data breach

malware

network threats

AI gegenereerde afbeelding

Het probleem dat Legit Security vond is dat de API geen onderscheid maakt tussen artefacten die zijn geüpload door gevorkte repositories en basisrepositories, dus als een downloadscript artefacten filtert die zijn gegenereerd door een bepaald workflow-bestand uit een bepaalde repository, zal de API de laatste versie van het artefact serveren dat door dat bestand is gegenereerd, maar dit zou een kwaadaardige versie kunnen zijn die automatisch is gegenereerd via een pull request-actie van een gevorkte versie van de repository. Om een kwetsbare CI/CD-pijplijn van een project aan te vallen die artefacten downloadt en gebruikt die door andere workflows zijn gegenereerd, hoeven aanvallers alleen maar de repositories met die workflows te forken, ze in hun lokale kopieën aan te passen zodat ze malafide artefacten produceren en vervolgens pull requests te doen terug naar de oorspronkelijke repositories zonder dat die requests hoeven te worden geaccepteerd. De kwetsbare workflow, genaamd ci.yml was verantwoordelijk voor het bouwen en testen van de code van het archief en gebruikte de aangepaste actie om een artefact genaamd libgccjit.so - een Linux-bibliotheekbestand - te downloaden dat was gegenereerd door een workflow in een archief van derden.

Bron leestijd: 5 min - csoonline.com

Ook beschikbaar in het: English

Meer nieuws voor jou