Artefaktvergiftung in GitHub-Aktionen Importiert Schadsoftware mehr als Software-Pipelines

Ein Angreifer, welcher Änderungen an ein Open-Source-Repository hinaus GitHub übermittelt, könnte nachgelagerte Softwareprojekte veranlassen, die die neueste Version einer Komponente enthalten, um Updates mit bösartigem Identifikator zu kompilieren.

Dasjenige sagt dies Sicherheitsunternehmen für jedes Softwarelieferketten, Legit Security, dies in einem am 1. Monat der Wintersonnenwende veröffentlichten Advisory sagte, dass selbige „Artefaktvergiftungsschwäche“ Softwareprojekte sich manifestieren in könnte, die GitHub Actions – verknüpfen Tätigkeit zur Automatisierung von Entwicklungspipelines – verwenden, während sie den Build-Prozess handhaben zu welchem Zeitpunkt eine Dynamik in einer Softwareabhängigkeit erkannt wird.

Die Schwachstelle ist nicht theoretisch: Legit Security simulierte verknüpfen Übergriff hinaus dies Projekt, dies Rust verwaltet, wodurch dies Projekt mit einer angepassten – und bösartigen – Version welcher beliebten Kooperationsrat der Arabischen Staaten des Golfes-Softwarebibliothek neu kompiliert wurde, so dies Unternehmen in welcher Hinweis.

Dasjenige Problem betrifft wahrscheinlich eine große Zahl von Open-Source-Projekten, da Betreuer normalerweise Tests mit beigesteuertem Identifikator tun, im Vorfeld sie den Identifikator tatsächlich selbst untersuchen, sagt Liav Caspi, Chief Technology Officer von Legit Security.

„Dasjenige ist heute ein gängiges Warenmuster“, sagt er. „Viele Open-Source-Projekte zur Folge haben heute für einer Änderungsanforderung eine Schlange von Tests durch, um die Bedürfnis zu validieren, da welcher Betreuer den Identifikator nicht zuerst begutachten möchte. Stattdessen werden unwillkürlich Tests durchgeführt.“

Dieser Übergriff nutzt den automatisierten Build-Prozess durch GitHub-Aktionen. Im Kern welcher Programmiersprache Rust hätte dies anfällige Warenmuster es einem Angreifer geben können, Identifikator hinaus privilegierte Weise denn Teil welcher Entwicklungspipeline auszuführen, Repository-Geheimnisse zu stehlen und notfalls den Identifikator zu vertuschen, sagte Legit Security.

„Um es wie geschmiert auszudrücken: In einem anfälligen Workflow kann jeder GitHub-Benutzer verknüpfen Fork erstellen, welcher ein Artefakt erstellt“, erklärte dies Unternehmen in seinem Advisory. „Fügen Sie dieses Artefakt dann in den ursprünglichen Repository-Erstellungsprozess ein und ändern Sie seine Version. Dies ist eine weitere Form eines Angriffs hinaus die Softwarelieferkette, für welcher die Build-Version von einem Angreifer geändert wird.“

Die Schwachstelle ermöglicht verknüpfen Übergriff verwandt dem Schadsoftware-Einfügungsangriff, welcher hinaus CodeCov und mehr als die Software dieses Unternehmens hinaus seine nachgelagerten Kunden abzielte.

“[T]Dasjenige Fehlen einer nativen GitHub-Implementierung für jedes die Kommunikation von Workflow-übergreifenden Artefakten veranlasste viele Projekte und die GitHub Actions-Netzwerk, unsichere Lösungen für jedes die Kommunikation zwischen Workflows zu gedeihen, und machte selbige Risiko weit verbreitet“, erklärte Legit Security in welcher Hinweis.

GitHub bestätigte dies Problem und zahlte eine Zuschlag für jedes die Informationen, während Rust seine anfällige Pipeline reparierte, erklärte Legit Security.

Software Supply Chain braucht Sicherheit

Die Schwachstelle ist dies neueste Sicherheitsproblem, dies Software-Lieferketten betrifft. Industrie und Regierungsbehörden nach sich ziehen zunehmend versucht, die Sicherheit von Open-Source-Software und Software, die denn Tafelgeschirr bereitgestellt wird, zu potenzieren.

Im Mai 2021 veröffentlichte die Biden-Verwaltung bspw. ihre Durchführungsverordnung zur Verbesserung welcher Cybersicherheit welcher Nation, eine Bundesvorschrift, die unter anderem vorschreibt, dass die Regierung grundlegende Sicherheitsstandards für jedes jede von ihr gekaufte Software verlangt. Uff Seiten welcher Privatwirtschaft nach sich ziehen Google und Microsoft Milliarden von Dollar zugesagt, um die Sicherheit im Open-Source-Umwelt zu potenzieren, dies den Identifikator bereitstellt, welcher mehr denn drei Viertel welcher Codebasis einer durchschnittlichen Benutzung ausmacht.

Logisch, im Unterschied dazu verwundbar

Dasjenige Sicherheitsproblem gehört zu einer schwergewichtig zu findenden Stil von Problemen, die denn Logikprobleme von Rang und Namen sind, darunter Probleme mit Berechtigungen, die Möglichkeit, gegabelte Repositorys in eine Pipeline einzufügen, und eine fehlende Unterscheidung zwischen gegabelten und Stützpunkt-Repositorys.

Da Softwareprojekte oft automatisierte Skripte verwenden, um Identifikator-Übermittlungen zu begutachten, im Vorfeld sie an die Betreuer weitergeleitet werden, werden Pull-Anforderungen automatisiert vollzogen, im Vorfeld sie von einem Menschen hinaus schädlichen Identifikator überprüft werden. Während die Automatisierung Zeit spart, sollte sie sogar denn Möglichkeit für jedes Angreifer betrachtet werden, bösartigen Identifikator in die Pipeline einzufügen.

„Wenn Sie Open-Source-Fortentwicklung betreiben, ist dies Problem größer, weil Sie Beiträge von jedem hinaus welcher Welt zusagen“, sagt Caspi. “Sie zur Folge haben Pipapo aus, denen Sie nicht vertrauen können.”

GitHub hat dies Problem erkannt und die Möglichkeiten erweitert, Einreichungen von externen Mitarbeitern von welcher automatischen Einschub in die Actions-Pipeline auszuschließen. Dasjenige Unternehmen hat seine GetArtifact- und ListArtifacts-APIs mit dem Ziel aktualisiert, mehr Informationen bereitzustellen, um festzustellen, ob einem Artefakt vertraut werden kann.

„Jeder, welcher so irgendwas wie dies Rust-Projekt tut – und hinaus den Input von Dritten vertraut –, ist immer noch labil“, sagt Caspi. “Es ist ein Logikproblem. GitHub hat es wie geschmiert einfacher gemacht, ein sichereres Skript zu schreiben.”