Vėl atakuojama smulkmena: plačiai paplitusi „GitHub Actions“ žyma pažeidžia paslaptis

Vėl atakuojama smulkmena: plačiai paplitusi „GitHub Actions“ žyma pažeidžia paslaptis

Programinės įrangos tiekimo grandinės saugumas yra tiek, kiek stipri jos silpniausia grandis. Daugybei kūrėjų komandų ši nuoroda tapo pačiomis priemonėmis, kuriomis jos naudojasi ieškodamos pažeidžiamumų. Nerimą keliančiu įvykių posūkiu „Aqua Security“ prižiūrimas populiarus atvirojo kodo pažeidžiamumo skaitytuvas „Trivy“ atsidūrė sudėtingos atakos centre. Kenkėjiški veikėjai pažeidė konkrečią versijos žymą („v0.48.0“) jos „GitHub Actions“ saugykloje, įterpdami kodą, skirtą slaptoms paslaptims pavogti iš bet kurios jį naudojusios darbo eigos. Šis incidentas yra ryškus priminimas, kad mūsų tarpusavyje susijusiose vystymosi ekosistemose pasitikėjimas turi būti nuolat tikrinamas, o ne manoma.

Žymos kompromiso atakos anatomija

Tai nebuvo pagrindinės „Trivy“ programos kodo pažeidimas, o protingas CI / CD automatizavimo pavertimas. Užpuolikai nusitaikė į „GitHub Actions“ saugyklą, sukurdami kenkėjišką „action.yml“ failo versiją, skirtą žymai „v0.48.0“. Kai kūrėjo darbo eiga nurodė šią konkrečią žymą, veiksmas vykdys žalingą scenarijų prieš paleisdamas teisėtą „Trivy“ nuskaitymą. Šis scenarijus buvo sukurtas taip, kad išfiltruotų paslaptis, pvz., saugyklos prieigos raktus, debesies teikėjo kredencialus ir API raktus, į nuotolinį serverį, kurį valdo užpuolikas. Šio puolimo klastingumas slypi jo specifikoje; kūrėjams, naudojantiems saugesnes žymas „@v0.48“ arba „@main“, tai nebuvo paveikta, tačiau tie, kurie prisegė tikslią pažeistą žymą, nesąmoningai įtraukė kritinį pažeidžiamumą.

Kodėl šis incidentas atsiliepia visame „DevOps“ pasaulyje

Trivy kompromisas yra svarbus dėl kelių priežasčių. Pirma, „Trivy“ yra pagrindinis saugos įrankis, kurį milijonai naudoja konteinerių ir kodo pažeidžiamumui nuskaityti. Ataka prieš saugumo įrankį griauna pagrindinį pasitikėjimą, reikalingą saugiam vystymuisi. Antra, tai pabrėžia augančią tendenciją, kad užpuolikai juda „prieš srovę“, taikydami įrankius ir priklausomybes, kuriomis remiasi kita programinė įranga. Apnuodiję vieną plačiai naudojamą komponentą, jie gali gauti prieigą prie didžiulio tolesnių projektų ir organizacijų tinklo. Šis incidentas yra svarbus tiekimo grandinės saugumo atvejo tyrimas, parodantis, kad joks įrankis, kad ir koks būtų patikimas, nėra apsaugotas nuo atakos vektoriaus.

"Ši ataka demonstruoja sudėtingą kūrėjo elgesio ir CI / CD mechanikos supratimą. Konkrečios versijos žymos prisegimas dažnai laikomas geriausia praktika siekiant stabilumo, tačiau šis incidentas rodo, kad tai taip pat gali sukelti pavojų, jei bus pažeista ta konkreti versija. Pamoka ta, kad sauga yra nuolatinis procesas, o ne vienkartinė sąranka."

Skubūs veiksmai, skirti apsaugoti „GitHub“ veiksmus

Po šio incidento kūrėjai ir saugos komandos turi imtis aktyvių priemonių, kad sustiprintų savo „GitHub Actions“ darbo eigą. Pasitenkinimas yra saugumo priešas. Štai pagrindiniai veiksmai, kuriuos reikia nedelsiant įgyvendinti:

• Vietoj žymų naudokite įpareigojimo SHA prisegimą: visada nurodykite veiksmus pagal jų visišką patvirtinimo maišą (pvz., `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). Tai vienintelis būdas užtikrinti, kad naudojate nekeičiamą veiksmo versiją.
• Tikrinti dabartines darbo eigas: nuodugniai patikrinkite .github/workflows katalogą. Identifikuokite visus veiksmus, prisegtus prie žymų, ir perjunkite juos, kad būtų galima atlikti SHA, ypač svarbių saugos įrankių atveju.
• Pasinaudokite „GitHub“ saugos funkcijomis: įgalinkite būtinus būsenos patikrinimus ir peržiūrėkite nustatymą „workflow_permissions“, pagal numatytuosius nustatymus nustatydami, kad jie būtų tik skaitymo, kad sumažintumėte galimą žalą dėl pažeisto veiksmo.
• Stebėkite neįprastą veiklą: registruokite ir stebėkite savo CI / CD vamzdynus, kad aptiktumėte netikėtus išeinančius tinklo ryšius arba neteisėtos prieigos bandymus naudojant jūsų paslaptis.

Atsparaus pagrindo kūrimas naudojant „Mewayz“

Nors atskirų įrankių apsauga yra labai svarbi, tikrasis atsparumas atsiranda dėl holistinio požiūrio į jūsų verslo operacijas. Tokie incidentai kaip „Trivy“ kompromisas atskleidžia paslėptą sudėtingumą ir riziką, įterptą į šiuolaikines įrankių grandines. Tokios platformos kaip „Mewayz“ tai sprendžia pateikdama vieningą, modulinę verslo OS, kuri sumažina priklausomybės plitimą ir centralizuoja valdymą. Užuot žongliravęs keliolika skirtingų paslaugų, kurių kiekviena turi savo saugos modelį ir atnaujinimo ciklą, „Mewayz“ integruoja pagrindines funkcijas, tokias kaip projektų valdymas, CRM ir dokumentų tvarkymas, į vieną saugią aplinką. Šis konsolidavimas sumažina atakos paviršių ir supaprastina saugos valdymą, todėl komandos gali sutelkti dėmesį į funkcijų kūrimą, o ne nuolat taisyti pažeidžiamumus fragmentuotame programinės įrangos pakete. Pasaulyje, kuriame viena pažeista žyma gali sukelti didelį pažeidimą, „Mewayz“ siūloma integruota sauga ir supaprastintos operacijos yra labiau kontroliuojamas ir tikrinamas augimo pagrindas.

Dažniausiai užduodami klausimai

Vėl atakuojama smulkmena: plačiai paplitusi „GitHub Actions“ žyma pažeidžia paslaptis

Programinės įrangos tiekimo grandinės saugumas yra tiek, kiek stipri jos silpniausia grandis. Daugybei kūrėjų komandų ši nuoroda tapo pačiomis priemonėmis, kuriomis jos naudojasi ieškodamos pažeidžiamumų. Nerimą keliančiu įvykių posūkiu „Aqua Security“ prižiūrimas populiarus atvirojo kodo pažeidžiamumo skaitytuvas „Trivy“ atsidūrė sudėtingos atakos centre. Kenkėjiški veikėjai pažeidė konkrečią versijos žymą („v0.48.0“) jos „GitHub Actions“ saugykloje, įterpdami kodą, skirtą slaptoms paslaptims pavogti iš bet kurios jį naudojusios darbo eigos. Šis incidentas yra ryškus priminimas, kad mūsų tarpusavyje susijusiose vystymosi ekosistemose pasitikėjimas turi būti nuolat tikrinamas, o ne manoma.

Žymos kompromiso atakos anatomija

Tai nebuvo pagrindinės „Trivy“ programos kodo pažeidimas, o protingas CI / CD automatizavimo pavertimas. Užpuolikai nusitaikė į „GitHub Actions“ saugyklą, sukurdami kenkėjišką „action.yml“ failo versiją, skirtą žymai „v0.48.0“. Kai kūrėjo darbo eiga nurodė šią konkrečią žymą, veiksmas vykdys žalingą scenarijų prieš paleisdamas teisėtą „Trivy“ nuskaitymą. Šis scenarijus buvo sukurtas taip, kad išfiltruotų paslaptis, pvz., saugyklos prieigos raktus, debesies teikėjo kredencialus ir API raktus, į nuotolinį serverį, kurį valdo užpuolikas. Šio puolimo klastingumas slypi jo specifikoje; kūrėjams, naudojantiems saugesnes žymas „@v0.48“ arba „@main“, tai nebuvo paveikta, tačiau tie, kurie prisegė tikslią pažeistą žymą, nesąmoningai įtraukė kritinį pažeidžiamumą.

Kodėl šis incidentas atsiliepia visame „DevOps“ pasaulyje

Trivy kompromisas yra svarbus dėl kelių priežasčių. Pirma, „Trivy“ yra pagrindinis saugos įrankis, kurį milijonai naudoja konteinerių ir kodo pažeidžiamumui nuskaityti. Ataka prieš saugumo įrankį griauna pagrindinį pasitikėjimą, reikalingą saugiam vystymuisi. Antra, tai pabrėžia augančią tendenciją, kad užpuolikai juda „prieš srovę“, taikydami įrankius ir priklausomybes, kuriomis remiasi kita programinė įranga. Apnuodiję vieną plačiai naudojamą komponentą, jie gali gauti prieigą prie didžiulio tolesnių projektų ir organizacijų tinklo. Šis incidentas yra svarbus tiekimo grandinės saugumo atvejo tyrimas, parodantis, kad joks įrankis, kad ir koks būtų patikimas, nėra apsaugotas nuo atakos vektoriaus.

Skubūs veiksmai, skirti apsaugoti „GitHub“ veiksmus

Po šio incidento kūrėjai ir saugos komandos turi imtis aktyvių priemonių, kad sustiprintų savo „GitHub Actions“ darbo eigą. Pasitenkinimas yra saugumo priešas. Štai pagrindiniai veiksmai, kuriuos reikia nedelsiant įgyvendinti:

Atsparaus pagrindo kūrimas naudojant „Mewayz“

Nors atskirų įrankių apsauga yra labai svarbi, tikrasis atsparumas atsiranda dėl holistinio požiūrio į jūsų verslo operacijas. Tokie incidentai kaip „Trivy“ kompromisas atskleidžia paslėptą sudėtingumą ir riziką, įterptą į šiuolaikines įrankių grandines. Tokios platformos kaip „Mewayz“ tai sprendžia pateikdama vieningą, modulinę verslo OS, kuri sumažina priklausomybės plitimą ir centralizuoja valdymą. Užuot žongliravęs keliolika skirtingų paslaugų, kurių kiekviena turi savo saugos modelį ir atnaujinimo ciklą, „Mewayz“ integruoja pagrindines funkcijas, tokias kaip projektų valdymas, CRM ir dokumentų tvarkymas, į vieną saugią aplinką. Šis konsolidavimas sumažina atakos paviršių ir supaprastina saugos valdymą, todėl komandos gali sutelkti dėmesį į funkcijų kūrimą, o ne nuolat taisyti pažeidžiamumus fragmentuotame programinės įrangos pakete. Pasaulyje, kuriame viena pažeista žyma gali sukelti didelį pažeidimą, „Mewayz“ siūloma integruota sauga ir supaprastintos operacijos yra labiau kontroliuojamas ir tikrinamas augimo pagrindas.