Manoma, kad kaskadinis tiekimo grandinės ataka, kuri prasidėjo nuo kompromiso dėl „peržiūrosDog/veiksmo-setup@v1“ veiksmo, lėmė neseniai pažeidimą „TJ-ACTION/pasikeitusios failai“, kurie nutekino CI/CD paslaptis.
Praėjusią savaitę tiekimo grandinės ataka prieš „TJ-Actions“/„Contract Files GitHub Action“ sukėlė kenkėjišką kodą CI/CD paslaptis į darbo eigos žurnalus 23 000 saugyklų. Jei tie žurnalai būtų buvę vieši, užpuolikas būtų galėjęs pavogti paslaptis.
„TJ-Action“ kūrėjai negali tiksliai tiksliai nustatyti, kaip užpuolikai pakenkė „GitHub“ asmeninės prieigos rakto (PAT), kurį botas naudoja kenkėjiškų kodo pakeitimams atlikti.
Šiandien „Wiz“ tyrėjai mano, kad jie galbūt rado atsakymą kaskadinių tiekimo grandinės atakų pavidalu, kuris prasidėjo kitu „GitHub“ veiksmu, pavadinimu „ReviewDDog/Action-Setup“.
Kibernetinio saugumo įmonė praneša, kad užpuolikai pirmiausia pakenkė V1 žymai, skirtai „ReviewDog“/„Action-Setup GitHub“ veiksmui, ir suleido panašų kodą, kad išmetuotų CI/CD paslaptis, kad būtų galima registruoti failus.
Kadangi „TJ-ACTION“/„Eslint“ keičiami failai naudoja „ReviewDog“/„Action-Setup“ veiksmą, manoma, kad pažeistas veiksmas buvo naudojamas panaikinti TJ-ACC asmeninę prieigos raktą ir jį pavogti.
„Mes tikime, kad greičiausiai„ ReviewDog “/„ veiksmo-setup “kompromisas yra pagrindinė TJ-Actions-Bot Pat PAT kompromiso priežastis“,-aiškina Wiz pranešime.
„TJ-ACTIONS/ESLINT keičiami failai naudoja„ ReviewDog “/„ Action-Setup@V1 “, o„ TJ-Actions “/„ CHORD-FILES “saugykloje vykdoma ši TJ-ACTIONS/ESLINT keičia failų veiksmas su asmeninės prieigos ženklu.”
„„ ReviewDog “veiksmas buvo pažeistas maždaug tuo pačiu metu, kai„ TJ-Actions “pataikė kompromisą.”
Užpuoliai įterpė bazinę64 koduotą naudingą krovinį į „Install.sh“, sukeldami paveiktų CI darbo eigų paslaptis.
Kaip ir TJ veiksmų atveju, atskleistos paslaptys bus matomos viešose saugyklose kaip darbo eigos žurnalų dalis.
.jpg)
Šaltinis: Wiz
Be „ReviewDG/Action-Setup@V1“ žymos, kuri buvo patvirtinta kaip pažeista, taip pat gali būti paveikti šie veiksmai:
- „ReviewDog“/„Action-ShellCheck“
- „ReviewDog“/„Action-Composite-Template“
- „ReviewDog“/„Action StaticCheck“
- „ReviewDog“/„Action-OST-Grep“
- „ReviewDog“/„Veiksmas“
WIZ paaiškina, kad „ReviewDog“ saugumo pažeidimas buvo ištaisytas atsitiktinai, tačiau jie informavo komandą ir Githubą apie jų išvadas, kad būtų išvengta pasikartojimo.
Nors tikslus pažeidimo metodas nenustatytas, „Wiz“ komentarai, kuriuose „Review Dog“ palaiko didelę bendraautorių bazę, ir priima naujus narius per automatinius kvietimus, kurie natūraliai padidina riziką.
Pažymėtina, kad jei veiksmas išliks kompromituojamas, praktiškai įmanoma pakartoti TJ-veiksmų/pasikeitusių failų ataką su sėkmingu rezultatu, potencialiai atskleidžiant ką tik pasuktas CI/CD paslaptis.
Rekomendacijos
„Wiz“ siūlo, kad potencialiai paveikti projektai vykdo šią „GitHub“ užklausą, kad patikrintų nuorodas į „ReviewDog“/„Action-Setup@V1“ saugyklose.
Jei „Workflow“ žurnaluose randami dvigubai užkoduotos bazės64 naudingosios apkrovos, tai turėtų būti laikoma patvirtinimu, kad jų paslaptys nutekėjo.
Kūrėjai turėtų nedelsdami pašalinti visas nuorodas į paveiktus veiksmus tarp šakų, ištrinti darbo eigos žurnalus ir pasukti visas galimai veikiamas paslaptis.
Norėdami užkirsti kelią panašiems kompromisams ateityje, „GitHub“ veiksmai, skirti atlikti maišos, o ne versijų žymes, ir naudokite „GitHub“ leidimų sąrašų funkciją, kad apribotumėte neteisėtus veiksmus.
Tos tiekimo grandinės atakos ir nutekėjusios CI/CD paslaptys turės ilgalaikį poveikį paveiktiems projektams, todėl norint sušvelninti riziką, reikia greito veiksmų.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
