GitHub Actions のセキュリティ脆弱性により、著名なオープンソース プロジェクトが侵害される

GitHub Actions のセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目すべきオープンソース プロジェクトが侵害されました。

A critical security vulnerability in GitHub Actions has led to the exposure of authentication tokens for several high-profile open-source projects maintained by companies like Google, Microsoft, AWS, and Red Hat. This flaw has enabled unauthorized access to private repositories and the insertion of malicious code.

GitHub Actions の重大なセキュリティ脆弱性により、Google、Microsoft、AWS、Red Hat などの企業が管理するいくつかの注目度の高いオープンソース プロジェクトの認証トークンが流出しました。この欠陥により、プライベート リポジトリへの不正アクセスや悪意のあるコードの挿入が可能になってしまいました。

GitHub Actions is a continuous integration and continuous delivery (CI/CD) platform that is deeply integrated with GitHub. It was launched in 2018 and allows users to automate their build, test, and deployment pipelines directly within their GitHub repositories.

GitHub Actions は、GitHub と緊密に統合された継続的インテグレーションおよび継続的デリバリー (CI/CD) プラットフォームです。 2018 年にリリースされ、ユーザーは GitHub リポジトリ内でビルド、テスト、デプロイのパイプラインを直接自動化できます。

This vulnerability was identified by Palo Alto Networks' Unit 42, which discovered that these tokens were unintentionally becoming public. Surprisingly, despite the gravity of the situation, GitHub has decided not to rectify the underlying problem. Instead, they have recommended that users take steps to secure their workflow artifacts. This decision has left many users vulnerable and frustrated.

この脆弱性は、パロアルトネットワークスの Unit 42 によって特定され、これらのトークンが意図せず公開されていることを発見しました。驚くべきことに、状況の深刻さにも関わらず、GitHub は根本的な問題を修正しないことを決定しました。代わりに、ユーザーがワークフロー成果物を保護するための措置を講じることを推奨しています。この決定により、多くのユーザーが脆弱になり、不満を感じています。

Unit 42's investigation highlighted several issues that can contribute to this vulnerability, including insecure default configurations and user errors. One primary issue involves the ‘actions/checkout' feature, which defaults to storing the GitHub token in the local .git directory. If this directory is included in artifact uploads, the token becomes exposed.

Unit 42 の調査では、安全でないデフォルト設定やユーザー エラーなど、この脆弱性の原因となる可能性のあるいくつかの問題が明らかになりました。主な問題の 1 つは、デフォルトで GitHub トークンをローカルの .git ディレクトリに保存する「actions/checkout」機能に関係しています。このディレクトリがアーティファクトのアップロードに含まれている場合、トークンが公開されます。

This vulnerability also affects other sensitive information, such as API keys and cloud access tokens, which might be leaked through these artifacts. Build outputs and test results are stored for up to 90 days and can be accessed by anyone who has read permissions to the repository.

この脆弱性は、API キーやクラウド アクセス トークンなどの他の機密情報にも影響し、これらのアーティファクトを通じて漏洩する可能性があります。ビルド出力とテスト結果は最大 90 日間保存され、リポジトリへの読み取り権限を持つ人なら誰でもアクセスできます。

Another vulnerability is encountered when CI/CD pipelines store GitHub tokens in environment variables. If any actions or scripts within the workflow log these environment variables, they can be unintentionally exposed. For example, enabling the ‘CREATE_LOG_FILE' property in the ‘super-linter' action can log these variables.

CI/CD パイプラインが GitHub トークンを環境変数に保存するときに、別の脆弱性が発生します。ワークフロー内のアクションまたはスクリプトがこれらの環境変数をログに記録すると、それらが意図せず公開される可能性があります。たとえば、「スーパーリンター」アクションで「CREATE_LOG_FILE」プロパティを有効にすると、これらの変数をログに記録できます。

The exploitation of this vulnerability can vary depending on the type of token that is exposed. For instance, if a GitHub token is leaked, it can be used to extract credentials from log files and use them before they expire. GitHub tokens are typically valid for the duration of their workflow jobs, while the ‘Actions_Runtime_Token,' which is used for caching and artifact management, remains valid for six hours. This provides a limited window of opportunity for attackers.

この脆弱性の悪用は、公開されるトークンの種類によって異なる可能性があります。たとえば、GitHub トークンが漏洩した場合、それを使用してログ ファイルから認証情報を抽出し、有効期限が切れる前に使用することができます。 GitHub トークンは通常、ワークフロー ジョブの期間中有効ですが、キャッシュとアーティファクト管理に使用される「Actions_Runtime_Token」は 6 時間有効です。これにより、攻撃者に与えられる機会は限られます。

However, the research conducted by Unit 42 also showed that these tokens include access to third-party cloud infrastructures, not just GitHub. This raises further security concerns, as artifactual data, containing these tokens, were found to be publicly accessible for up to three months. Malicious actors could automate the retrieval of artifacts, extract tokens, and use them to push malicious code to repositories.

ただし、Unit 42 が実施した調査では、これらのトークンには GitHub だけでなくサードパーティのクラウド インフラストラクチャへのアクセスが含まれていることも示されました。これらのトークンを含むアーティファクトデータは最大 3 か月間一般にアクセス可能であることが判明したため、これによりセキュリティ上の懸念がさらに高まります。悪意のある攻撃者は、アーティファクトの取得を自動化し、トークンを抽出し、それらを使用して悪意のあるコードをリポジトリにプッシュする可能性があります。

To demonstrate this vulnerability, the researchers created a branch in an open-source project, showing the potential for remote code execution (RCE) on the runner handling the malicious artifact. They also developed a proof of concept (PoC) action to audit the source directory for secrets, blocking artifact uploads if any secret exposure risk was detected.

この脆弱性を実証するために、研究者らはオープンソース プロジェクトにブランチを作成し、悪意のあるアーティファクトを処理するランナー上でリモート コード実行 (RCE) が行われる可能性を示しました。また、ソース ディレクトリの秘密を監査し、秘密漏洩のリスクが検出された場合にアーティファクトのアップロードをブロックする概念実証 (PoC) アクションも開発しました。

The findings of this research were submitted to GitHub's bug bounty program, but the issue was classified as informational, suggesting that users bear the responsibility to secure uploaded artifacts. Despite the limited response from GitHub, the insights were shared with Cyber Threat Alliance (CTA) to allow members to deploy protective measures and thwart potential cyber threats.

この調査結果は GitHub のバグ報奨金プログラムに提出されましたが、この問題は情報提供として分類され、アップロードされたアーティファクトを保護する責任はユーザーにあることが示唆されました。 GitHub からの反応は限られていましたが、洞察は Cyber​​ Threat Alliance (CTA) と共有され、メンバーが保護措置を導入し、潜在的なサイバー脅威を阻止できるようになりました。