CICD管道中的代碼注入漏洞影響Google、Apache開源GitHub項(xiàng)目 安全圈
2022年09月09日
根據(jù)網(wǎng)站FreeBuf消息���,CI/CD管道中存在安全漏洞����,攻擊者可以利用這些漏洞來破壞開發(fā)過程并在部署時(shí)推出惡意代碼����。
近日,研究人員在Apache和Google的兩個(gè)非常流行的開源項(xiàng)目的GitHub環(huán)境中發(fā)現(xiàn)了一對(duì)安全漏洞����,可用于秘密修改項(xiàng)目源代碼、竊取機(jī)密并在組織內(nèi)部橫向移動(dòng)��。
據(jù)Legit Security的研究人員稱�,這些問題是持續(xù)集成/持續(xù)交付(CI/CD)缺陷,可能威脅到全球更多的開源項(xiàng)目��,目前主要影響Google Firebase項(xiàng)目和Apache運(yùn)行的流行集成框架項(xiàng)目����。
研究人員將這種漏洞模式稱為“GitHub環(huán)境注入”�����。它允許攻擊者通過寫入一個(gè)名為“GITHUB_ENV”的GitHub環(huán)境變量創(chuàng)建一個(gè)特制的有效負(fù)載�����,來控制易受攻擊項(xiàng)目的GitHub Actions管道���。具體來說,問題存在于GitHub在構(gòu)建機(jī)器中共享環(huán)境變量的方式�,它允許攻擊者對(duì)其進(jìn)行操作以提取信息,包括存儲(chǔ)庫(kù)所有權(quán)憑證��。
Legit Security首席技術(shù)官兼聯(lián)合創(chuàng)始人Liav Caspi補(bǔ)充道�����,這個(gè)概念是�,構(gòu)建Actions本身信任這些提交以供審查的代碼,不需要任何人對(duì)其進(jìn)行審查��。更糟糕的是�����,任何對(duì)GitHub做出過貢獻(xiàn)的人都可以觸發(fā)它,而無需任何人對(duì)其進(jìn)行審查�。所以����,這個(gè)一個(gè)非常強(qiáng)大且危險(xiǎn)的漏洞。
不要忽視CI/CD管道的安全性
根據(jù)Caspi的說法���,他的團(tuán)隊(duì)在對(duì)CI/CD管道的持續(xù)調(diào)查中發(fā)現(xiàn)了這些漏洞����。隨著“SolarWinds式”供應(yīng)鏈缺陷的激增�����,他們一直在尋找GitHub生態(tài)系統(tǒng)中的缺陷���,因?yàn)樗情_源世界和企業(yè)開發(fā)中最受歡迎的源代碼管理(SCM)系統(tǒng)之一�,因此也是將漏洞注入軟件供應(yīng)鏈的天然工具���。
他解釋稱�����,“這些缺陷既體現(xiàn)了GitHub平臺(tái)設(shè)計(jì)方式的設(shè)計(jì)缺陷����,也體現(xiàn)了不同的開源項(xiàng)目和企業(yè)如何使用該平臺(tái)。如果您非常了解風(fēng)險(xiǎn)并有意規(guī)避許多有風(fēng)險(xiǎn)的操作���,您可能會(huì)編寫一個(gè)非常安全的構(gòu)建腳本���。但我認(rèn)為沒有人真正意識(shí)到這一點(diǎn),GitHub Actions中有一些非常危險(xiǎn)的機(jī)制用于日常構(gòu)建操作�����?���!?/span>
他建議稱,企業(yè)開發(fā)團(tuán)隊(duì)?wèi)?yīng)始終對(duì)GitHub Action和其他構(gòu)建系統(tǒng)保持“零信任”原則��,假設(shè)他們用于構(gòu)建的組件都可能會(huì)被攻擊者利用���,然后隔離環(huán)境并審查代碼����。
正如Caspi所解釋的那樣,這些缺陷不僅表明開源項(xiàng)目本身是供應(yīng)鏈漏洞的潛在載體�����,而且構(gòu)成CI/CD管道及其集成的代碼也是如此����。
好消息是��,目前這兩個(gè)漏洞都已得到修復(fù)���。
文章來源:安全圈
