GitHub Actions 보안 취약점으로 인해 주목할만한 오픈 소스 프로젝트가 손상됨

GitHub Actions의 보안 취약성으로 인해 Google, Microsoft, AWS, Red Hat과 같은 회사에서 유지관리하는 몇몇 주목할만한 오픈 소스 프로젝트가 손상되었습니다.

A critical security vulnerability in GitHub Actions has led to the exposure of authentication tokens for several high-profile open-source projects maintained by companies like Google, Microsoft, AWS, and Red Hat. This flaw has enabled unauthorized access to private repositories and the insertion of malicious code.

GitHub Actions의 심각한 보안 취약성으로 인해 Google, Microsoft, AWS, Red Hat과 같은 회사에서 유지 관리하는 여러 유명 오픈 소스 프로젝트에 대한 인증 토큰이 노출되었습니다. 이 결함으로 인해 개인 저장소에 대한 무단 액세스와 악성 코드 삽입이 가능해졌습니다.

GitHub Actions is a continuous integration and continuous delivery (CI/CD) platform that is deeply integrated with GitHub. It was launched in 2018 and allows users to automate their build, test, and deployment pipelines directly within their GitHub repositories.

GitHub Actions는 GitHub와 긴밀하게 통합된 CI/CD(지속적 통합 및 지속적 전달) 플랫폼입니다. 2018년에 출시되었으며 사용자가 GitHub 리포지토리 내에서 직접 빌드, 테스트 및 배포 파이프라인을 자동화할 수 있습니다.

This vulnerability was identified by Palo Alto Networks' Unit 42, which discovered that these tokens were unintentionally becoming public. Surprisingly, despite the gravity of the situation, GitHub has decided not to rectify the underlying problem. Instead, they have recommended that users take steps to secure their workflow artifacts. This decision has left many users vulnerable and frustrated.

이 취약점은 Palo Alto Networks의 Unit 42에 의해 식별되었으며, 이 토큰이 의도치 않게 공개되었다는 사실을 발견했습니다. 놀랍게도 상황의 심각성에도 불구하고 GitHub는 근본적인 문제를 수정하지 않기로 결정했습니다. 대신 사용자가 워크플로 아티팩트를 보호하기 위한 조치를 취할 것을 권장했습니다. 이 결정으로 인해 많은 사용자가 취약해지고 좌절감을 느꼈습니다.

Unit 42's investigation highlighted several issues that can contribute to this vulnerability, including insecure default configurations and user errors. One primary issue involves the ‘actions/checkout' feature, which defaults to storing the GitHub token in the local .git directory. If this directory is included in artifact uploads, the token becomes exposed.

Unit 42의 조사에서는 안전하지 않은 기본 구성 및 사용자 오류를 포함하여 이 취약점에 기여할 수 있는 몇 가지 문제가 강조되었습니다. 주요 문제 중 하나는 기본적으로 GitHub 토큰을 로컬 .git 디렉터리에 저장하는 'actions/checkout' 기능과 관련이 있습니다. 이 디렉터리가 아티팩트 업로드에 포함되면 토큰이 노출됩니다.

This vulnerability also affects other sensitive information, such as API keys and cloud access tokens, which might be leaked through these artifacts. Build outputs and test results are stored for up to 90 days and can be accessed by anyone who has read permissions to the repository.

이 취약점은 API 키, 클라우드 액세스 토큰 등 이러한 아티팩트를 통해 유출될 수 있는 기타 민감한 정보에도 영향을 미칩니다. 빌드 출력 및 테스트 결과는 최대 90일 동안 저장되며 리포지토리에 대한 읽기 권한이 있는 사람은 누구나 액세스할 수 있습니다.

Another vulnerability is encountered when CI/CD pipelines store GitHub tokens in environment variables. If any actions or scripts within the workflow log these environment variables, they can be unintentionally exposed. For example, enabling the ‘CREATE_LOG_FILE' property in the ‘super-linter' action can log these variables.

CI/CD 파이프라인이 GitHub 토큰을 환경 변수에 저장할 때 또 다른 취약성이 발생합니다. 워크플로 내의 작업이나 스크립트가 이러한 환경 변수를 기록하는 경우 의도하지 않게 노출될 수 있습니다. 예를 들어, 'super-linter' 작업에서 'CREATE_LOG_FILE' 속성을 활성화하면 이러한 변수를 기록할 수 있습니다.

The exploitation of this vulnerability can vary depending on the type of token that is exposed. For instance, if a GitHub token is leaked, it can be used to extract credentials from log files and use them before they expire. GitHub tokens are typically valid for the duration of their workflow jobs, while the ‘Actions_Runtime_Token,' which is used for caching and artifact management, remains valid for six hours. This provides a limited window of opportunity for attackers.

이 취약점의 악용은 노출된 토큰 유형에 따라 달라질 수 있습니다. 예를 들어 GitHub 토큰이 유출된 경우 이를 사용하여 로그 파일에서 자격 증명을 추출하고 만료되기 전에 사용할 수 있습니다. GitHub 토큰은 일반적으로 워크플로 작업 기간 동안 유효한 반면, 캐싱 및 아티팩트 관리에 사용되는 'Actions_Runtime_Token'은 6시간 동안 유효합니다. 이는 공격자에게 제한된 기회를 제공합니다.

However, the research conducted by Unit 42 also showed that these tokens include access to third-party cloud infrastructures, not just GitHub. This raises further security concerns, as artifactual data, containing these tokens, were found to be publicly accessible for up to three months. Malicious actors could automate the retrieval of artifacts, extract tokens, and use them to push malicious code to repositories.

그러나 Unit 42가 수행한 연구에 따르면 이러한 토큰에는 GitHub뿐만 아니라 타사 클라우드 인프라에 대한 액세스도 포함되어 있는 것으로 나타났습니다. 이러한 토큰이 포함된 인공 데이터는 최대 3개월 동안 공개적으로 액세스할 수 있는 것으로 밝혀졌기 때문에 보안에 대한 우려가 더욱 커지고 있습니다. 악의적인 행위자는 아티팩트 검색을 자동화하고, 토큰을 추출하고, 이를 사용하여 악성 코드를 리포지토리에 푸시할 수 있습니다.

To demonstrate this vulnerability, the researchers created a branch in an open-source project, showing the potential for remote code execution (RCE) on the runner handling the malicious artifact. They also developed a proof of concept (PoC) action to audit the source directory for secrets, blocking artifact uploads if any secret exposure risk was detected.

이 취약점을 입증하기 위해 연구원들은 오픈 소스 프로젝트에 브랜치를 생성하여 악성 아티팩트를 처리하는 실행기에서 RCE(원격 코드 실행)의 가능성을 보여주었습니다. 또한 소스 디렉터리에서 비밀을 감사하여 비밀 노출 위험이 감지되면 아티팩트 업로드를 차단하는 PoC(개념 증명) 작업을 개발했습니다.

The findings of this research were submitted to GitHub's bug bounty program, but the issue was classified as informational, suggesting that users bear the responsibility to secure uploaded artifacts. Despite the limited response from GitHub, the insights were shared with Cyber Threat Alliance (CTA) to allow members to deploy protective measures and thwart potential cyber threats.

이 연구 결과는 GitHub의 버그 바운티 프로그램에 제출되었지만 이 문제는 정보 제공용으로 분류되어 사용자가 업로드된 아티팩트를 보호할 책임이 있음을 시사합니다. GitHub의 제한된 응답에도 불구하고 회원들이 보호 조치를 배포하고 잠재적인 사이버 위협을 차단할 수 있도록 CTA(Cyber ​​Threat Alliance)와 통찰력을 공유했습니다.