La vulnérabilité de sécurité des actions GitHub compromet les projets open source notables

Une vulnérabilité de sécurité dans GitHub Actions a compromis plusieurs projets open source notables maintenus par des sociétés comme Google, Microsoft, AWS et Red Hat.

A critical security vulnerability in GitHub Actions has led to the exposure of authentication tokens for several high-profile open-source projects maintained by companies like Google, Microsoft, AWS, and Red Hat. This flaw has enabled unauthorized access to private repositories and the insertion of malicious code.

Une vulnérabilité de sécurité critique dans GitHub Actions a conduit à l'exposition de jetons d'authentification pour plusieurs projets open source de grande envergure gérés par des sociétés comme Google, Microsoft, AWS et Red Hat. Cette faille a permis un accès non autorisé à des référentiels privés et l'insertion de code malveillant.

GitHub Actions is a continuous integration and continuous delivery (CI/CD) platform that is deeply integrated with GitHub. It was launched in 2018 and allows users to automate their build, test, and deployment pipelines directly within their GitHub repositories.

GitHub Actions est une plateforme d'intégration continue et de livraison continue (CI/CD) profondément intégrée à GitHub. Il a été lancé en 2018 et permet aux utilisateurs d'automatiser leurs pipelines de construction, de test et de déploiement directement dans leurs référentiels GitHub.

This vulnerability was identified by Palo Alto Networks' Unit 42, which discovered that these tokens were unintentionally becoming public. Surprisingly, despite the gravity of the situation, GitHub has decided not to rectify the underlying problem. Instead, they have recommended that users take steps to secure their workflow artifacts. This decision has left many users vulnerable and frustrated.

Cette vulnérabilité a été identifiée par l'unité 42 de Palo Alto Networks, qui a découvert que ces jetons devenaient involontairement publics. Étonnamment, malgré la gravité de la situation, GitHub a décidé de ne pas remédier au problème sous-jacent. Au lieu de cela, ils ont recommandé aux utilisateurs de prendre des mesures pour sécuriser leurs artefacts de flux de travail. Cette décision a laissé de nombreux utilisateurs vulnérables et frustrés.

Unit 42's investigation highlighted several issues that can contribute to this vulnerability, including insecure default configurations and user errors. One primary issue involves the ‘actions/checkout' feature, which defaults to storing the GitHub token in the local .git directory. If this directory is included in artifact uploads, the token becomes exposed.

L'enquête de l'Unité 42 a mis en évidence plusieurs problèmes pouvant contribuer à cette vulnérabilité, notamment des configurations par défaut non sécurisées et des erreurs d'utilisateur. L'un des principaux problèmes concerne la fonctionnalité « actions/checkout », qui stocke par défaut le jeton GitHub dans le répertoire .git local. Si ce répertoire est inclus dans les téléchargements d'artefacts, le jeton est exposé.

This vulnerability also affects other sensitive information, such as API keys and cloud access tokens, which might be leaked through these artifacts. Build outputs and test results are stored for up to 90 days and can be accessed by anyone who has read permissions to the repository.

Cette vulnérabilité affecte également d'autres informations sensibles, telles que les clés API et les jetons d'accès au cloud, qui pourraient être divulguées via ces artefacts. Les sorties de build et les résultats des tests sont stockés jusqu'à 90 jours et sont accessibles à toute personne disposant d'autorisations de lecture sur le référentiel.

Another vulnerability is encountered when CI/CD pipelines store GitHub tokens in environment variables. If any actions or scripts within the workflow log these environment variables, they can be unintentionally exposed. For example, enabling the ‘CREATE_LOG_FILE' property in the ‘super-linter' action can log these variables.

Une autre vulnérabilité est rencontrée lorsque les pipelines CI/CD stockent les jetons GitHub dans des variables d'environnement. Si des actions ou des scripts au sein du flux de travail enregistrent ces variables d'environnement, ils peuvent être involontairement exposés. Par exemple, l'activation de la propriété « CREATE_LOG_FILE » dans l'action « super-linter » peut enregistrer ces variables.

The exploitation of this vulnerability can vary depending on the type of token that is exposed. For instance, if a GitHub token is leaked, it can be used to extract credentials from log files and use them before they expire. GitHub tokens are typically valid for the duration of their workflow jobs, while the ‘Actions_Runtime_Token,' which is used for caching and artifact management, remains valid for six hours. This provides a limited window of opportunity for attackers.

L'exploitation de cette vulnérabilité peut varier en fonction du type de jeton exposé. Par exemple, si un jeton GitHub est divulgué, il peut être utilisé pour extraire les informations d'identification des fichiers journaux et les utiliser avant leur expiration. Les jetons GitHub sont généralement valides pour la durée de leurs tâches de flux de travail, tandis que le « Actions_Runtime_Token », qui est utilisé pour la mise en cache et la gestion des artefacts, reste valide pendant six heures. Cela offre une fenêtre d’opportunité limitée aux attaquants.

However, the research conducted by Unit 42 also showed that these tokens include access to third-party cloud infrastructures, not just GitHub. This raises further security concerns, as artifactual data, containing these tokens, were found to be publicly accessible for up to three months. Malicious actors could automate the retrieval of artifacts, extract tokens, and use them to push malicious code to repositories.

Cependant, les recherches menées par Unit 42 ont également montré que ces jetons incluent l'accès à des infrastructures cloud tierces, et pas seulement à GitHub. Cela soulève d’autres problèmes de sécurité, car les données artificielles contenant ces jetons se sont avérées accessibles au public pendant une durée pouvant aller jusqu’à trois mois. Les acteurs malveillants pourraient automatiser la récupération des artefacts, extraire des jetons et les utiliser pour transmettre du code malveillant vers des référentiels.

To demonstrate this vulnerability, the researchers created a branch in an open-source project, showing the potential for remote code execution (RCE) on the runner handling the malicious artifact. They also developed a proof of concept (PoC) action to audit the source directory for secrets, blocking artifact uploads if any secret exposure risk was detected.

Pour démontrer cette vulnérabilité, les chercheurs ont créé une branche dans un projet open source, montrant le potentiel d'exécution de code à distance (RCE) sur le programme d'exécution gérant l'artefact malveillant. Ils ont également développé une action de preuve de concept (PoC) pour auditer le répertoire source à la recherche de secrets, bloquant les téléchargements d'artefacts si un risque d'exposition de secrets était détecté.

The findings of this research were submitted to GitHub's bug bounty program, but the issue was classified as informational, suggesting that users bear the responsibility to secure uploaded artifacts. Despite the limited response from GitHub, the insights were shared with Cyber Threat Alliance (CTA) to allow members to deploy protective measures and thwart potential cyber threats.

Les résultats de cette recherche ont été soumis au programme de bug bounty de GitHub, mais le problème a été classé comme informatif, ce qui suggère que les utilisateurs ont la responsabilité de sécuriser les artefacts téléchargés. Malgré la réponse limitée de GitHub, les informations ont été partagées avec Cyber ​​Threat Alliance (CTA) pour permettre à ses membres de déployer des mesures de protection et de contrecarrer les cybermenaces potentielles.