Sicherheitslücke in GitHub Actions gefährdet namhafte Open-Source-Projekte

Eine Sicherheitslücke in GitHub Actions hat mehrere bemerkenswerte Open-Source-Projekte gefährdet, die von Unternehmen wie Google, Microsoft, AWS und Red Hat verwaltet werden.

A critical security vulnerability in GitHub Actions has led to the exposure of authentication tokens for several high-profile open-source projects maintained by companies like Google, Microsoft, AWS, and Red Hat. This flaw has enabled unauthorized access to private repositories and the insertion of malicious code.

Eine kritische Sicherheitslücke in GitHub Actions hat zur Offenlegung von Authentifizierungstokens für mehrere hochkarätige Open-Source-Projekte geführt, die von Unternehmen wie Google, Microsoft, AWS und Red Hat verwaltet werden. Dieser Fehler hat den unbefugten Zugriff auf private Repositories und das Einfügen von Schadcode ermöglicht.

GitHub Actions is a continuous integration and continuous delivery (CI/CD) platform that is deeply integrated with GitHub. It was launched in 2018 and allows users to automate their build, test, and deployment pipelines directly within their GitHub repositories.

GitHub Actions ist eine Plattform für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD), die tief in GitHub integriert ist. Es wurde 2018 eingeführt und ermöglicht Benutzern die Automatisierung ihrer Build-, Test- und Bereitstellungspipelines direkt in ihren GitHub-Repositorys.

This vulnerability was identified by Palo Alto Networks' Unit 42, which discovered that these tokens were unintentionally becoming public. Surprisingly, despite the gravity of the situation, GitHub has decided not to rectify the underlying problem. Instead, they have recommended that users take steps to secure their workflow artifacts. This decision has left many users vulnerable and frustrated.

Diese Schwachstelle wurde von Unit 42 von Palo Alto Networks entdeckt, die feststellte, dass diese Token unbeabsichtigt öffentlich wurden. Überraschenderweise hat GitHub trotz der Schwere der Lage beschlossen, das zugrunde liegende Problem nicht zu beheben. Stattdessen haben sie den Benutzern empfohlen, Maßnahmen zur Sicherung ihrer Workflow-Artefakte zu ergreifen. Diese Entscheidung hat viele Benutzer verletzlich und frustriert gemacht.

Unit 42's investigation highlighted several issues that can contribute to this vulnerability, including insecure default configurations and user errors. One primary issue involves the ‘actions/checkout' feature, which defaults to storing the GitHub token in the local .git directory. If this directory is included in artifact uploads, the token becomes exposed.

Die Untersuchung von Unit 42 hat mehrere Probleme aufgezeigt, die zu dieser Sicherheitslücke beitragen können, darunter unsichere Standardkonfigurationen und Benutzerfehler. Ein Hauptproblem betrifft die Funktion „Aktionen/Checkout“, die standardmäßig das GitHub-Token im lokalen .git-Verzeichnis speichert. Wenn dieses Verzeichnis in Artefakt-Uploads enthalten ist, wird das Token verfügbar gemacht.

This vulnerability also affects other sensitive information, such as API keys and cloud access tokens, which might be leaked through these artifacts. Build outputs and test results are stored for up to 90 days and can be accessed by anyone who has read permissions to the repository.

Diese Sicherheitslücke betrifft auch andere vertrauliche Informationen, wie API-Schlüssel und Cloud-Zugriffstokens, die durch diese Artefakte durchsickern könnten. Build-Ausgaben und Testergebnisse werden bis zu 90 Tage lang gespeichert und können von jedem abgerufen werden, der über Leseberechtigungen für das Repository verfügt.

Another vulnerability is encountered when CI/CD pipelines store GitHub tokens in environment variables. If any actions or scripts within the workflow log these environment variables, they can be unintentionally exposed. For example, enabling the ‘CREATE_LOG_FILE' property in the ‘super-linter' action can log these variables.

Eine weitere Schwachstelle tritt auf, wenn CI/CD-Pipelines GitHub-Tokens in Umgebungsvariablen speichern. Wenn Aktionen oder Skripte innerhalb des Workflows diese Umgebungsvariablen protokollieren, können sie unbeabsichtigt offengelegt werden. Wenn Sie beispielsweise die Eigenschaft „CREATE_LOG_FILE“ in der Aktion „super-linter“ aktivieren, können diese Variablen protokolliert werden.

The exploitation of this vulnerability can vary depending on the type of token that is exposed. For instance, if a GitHub token is leaked, it can be used to extract credentials from log files and use them before they expire. GitHub tokens are typically valid for the duration of their workflow jobs, while the ‘Actions_Runtime_Token,' which is used for caching and artifact management, remains valid for six hours. This provides a limited window of opportunity for attackers.

Die Ausnutzung dieser Schwachstelle kann je nach Art des offengelegten Tokens variieren. Wenn beispielsweise ein GitHub-Token durchgesickert ist, können damit Anmeldeinformationen aus Protokolldateien extrahiert und verwendet werden, bevor sie ablaufen. GitHub-Tokens sind in der Regel für die Dauer ihrer Workflow-Jobs gültig, während das „Actions_Runtime_Token“, das für Caching und Artefaktverwaltung verwendet wird, sechs Stunden lang gültig bleibt. Dies bietet Angreifern nur ein begrenztes Zeitfenster.

However, the research conducted by Unit 42 also showed that these tokens include access to third-party cloud infrastructures, not just GitHub. This raises further security concerns, as artifactual data, containing these tokens, were found to be publicly accessible for up to three months. Malicious actors could automate the retrieval of artifacts, extract tokens, and use them to push malicious code to repositories.

Die von Unit 42 durchgeführte Untersuchung ergab jedoch auch, dass diese Token den Zugriff auf Cloud-Infrastrukturen von Drittanbietern und nicht nur auf GitHub umfassen. Dies wirft weitere Sicherheitsbedenken auf, da sich herausstellte, dass künstliche Daten, die diese Token enthalten, bis zu drei Monate lang öffentlich zugänglich waren. Böswillige Akteure könnten den Abruf von Artefakten automatisieren, Token extrahieren und diese nutzen, um Schadcode in Repositories zu übertragen.

To demonstrate this vulnerability, the researchers created a branch in an open-source project, showing the potential for remote code execution (RCE) on the runner handling the malicious artifact. They also developed a proof of concept (PoC) action to audit the source directory for secrets, blocking artifact uploads if any secret exposure risk was detected.

Um diese Schwachstelle zu demonstrieren, erstellten die Forscher einen Zweig in einem Open-Source-Projekt, der das Potenzial für Remote Code Execution (RCE) auf dem Runner zeigt, der das bösartige Artefakt verarbeitet. Sie entwickelten außerdem eine Proof-of-Concept-Aktion (PoC), um das Quellverzeichnis auf Geheimnisse zu prüfen und das Hochladen von Artefakten zu blockieren, wenn ein Risiko für die Offenlegung von Geheimnissen festgestellt wurde.

The findings of this research were submitted to GitHub's bug bounty program, but the issue was classified as informational, suggesting that users bear the responsibility to secure uploaded artifacts. Despite the limited response from GitHub, the insights were shared with Cyber Threat Alliance (CTA) to allow members to deploy protective measures and thwart potential cyber threats.

Die Ergebnisse dieser Untersuchung wurden an das Bug-Bounty-Programm von GitHub übermittelt, das Problem wurde jedoch als informativ eingestuft, was darauf hindeutet, dass Benutzer die Verantwortung für die Sicherung hochgeladener Artefakte tragen. Trotz der begrenzten Reaktion von GitHub wurden die Erkenntnisse mit der Cyber ​​Threat Alliance (CTA) geteilt, um den Mitgliedern die Einführung von Schutzmaßnahmen und die Abwehr potenzieller Cyber-Bedrohungen zu ermöglichen.