资讯专栏INFORMATION COLUMN

GitHub Actions安全漏洞可使攻击者绕过代码审查机制 影响受保护分支

ccj659 / 3129人阅读

摘要:危及用户账户的攻击者,或者只是想绕过这一限制的开发人员,可以简单地将代码推送到受保护的分支。表示他们会努力修复此安全漏洞。安全漏洞将软件置于危险之中。

Cider Security的研究人员在GitHub Actions中发现了一个安全漏洞,该漏洞允许攻击者绕过必要的审查机制,将未审查的代码推到受保护的分支,使其进入生产管道。

根据Medium上的一篇博客文章,首席安全研究员Omer Gil和他在Cider security(一家专注于持续集成/持续交付安全的初创公司)的研究团队发现了这个安全漏洞,这是他们研究DevOps中新型攻击的一部分。

Gil称,要求审查是GitHub中最广泛使用的安全机制之一,由于GitHub Actions是默认安装的,几乎任何组织都容易受到这种攻击。

“危及GitHub用户账户的攻击者,或者只是想绕过这一限制的开发人员,可以简单地将代码推送到受保护的分支。由于受保护分支中的代码通常由许多用户或其他系统在生产系统中使用,因此影响很大,”Gil指出。

GitHub是一个为协作而设计的软件开发和版本控制平台,为数百万用户和公司提供服务,他们使用它来托管他们的代码库——用于构建特定软件系统、应用程序或软件组件的源代码集合。

GitHub的发言人目前没有透露更多细节。

攻击分析

GitHub Actions是GitHub的持续集成/持续交付产品,它可以在您的存储库中自动执行、自定义和执行从开发到生产系统的软件开发工作流程。

研究人员表示,GitHub Actions 默认安装在任何 GitHub 组织及其所有存储库上,任何具有将代码推送到存储库的写入权限的用户都可以创建一个在推送代码时运行的工作流。

“在每个工作流运行时,GitHub 都会创建一个唯一的GitHub令牌 (GITHUB_TOKEN) 以在工作流中使用以针对存储库进行身份验证。这些权限具有默认设置,在组织或存储库级别设置。该设置允许授予该令牌有限的权限——内容和元数据范围的读权限,或许可的权限——内容、包和拉取请求等各种范围的读/写权限。”研究人员指出。

然而,研究人员指出,任何对存储库具有写访问权限的用户都可以修改授予令牌的权限,并且可以根据需要通过操作工作流文件中的权限密钥来添加或删除访问权限。

如果攻击者劫持了用户帐户,他们可以通过创建拉取请求将代码推送到受保护的分支,意图将其恶意代码合并到受保护的分支。

拉取请求允许用户告诉其他人他们已推送到 GitHub 上存储库中的分支的更改。

GitHub 网站解释说,一旦 PR 打开,用户就可以与合作者讨论和审查潜在的更改,并在将更改合并到基本分支之前添加后续提交工作。

“因为需要审批,PR创建后无法合并。但是,工作流立即运行,并且PR由github-actions机器人(GITHUB_TOKEN所属的机器人)批准。它不是组织成员,但算作PR批准,并有效地允许攻击者批准他们自己的 PR,基本上绕过分支保护规则,结果将代码推送到受保护的分支,而无需任何其他组织成员的批准,”研究人员指出。

组织所有者可以设置分支保护规则,在合并之前要求拉请求批准,而用户不能批准自己的拉请求。

如何缓解

Gil表示,没有迹象表明这个问题是否被利用,但建议GitHub所有者在没有使用的情况下禁用GitHub Actions。这个问题可以通过需要代码所有者的批准来解决,或者需要两个或更多的批准来合并一个拉取请求。

GitHub表示他们会努力修复此安全漏洞。攻击者肯定可以利用这个问题,试图进入生产系统,扩大对受害者资产的控制。吉尔指出。

安全漏洞将软件置于危险之中。数据显示,90%的网络安全事件和软件漏洞被利用有关,在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。当前,通过提高软件自身安全性以确保网络安全,已成为继传统网络安全防护软件之后的又一有效手段。

参读链接:

www.inforisktoday.com/flaws-in-gi…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122647.html

相关文章

  • 企业组织面临12大顶级云计算安全威胁

    摘要:在上周召开的会议上,云安全联盟列出的,即企业组织在年将面临的大顶级云计算安全威胁。当发生数据泄露事故时,企业组织可能会被罚款,他们甚至可能会面临诉讼或刑事指控。糟糕的接口和或将暴露出企业组织在保密性完整性可用性和问责制方面的安全问题。  企业组织在信息化办公环境中,在网络中进行办公及数据传输的潜在危险正在加大,有必要对数据安全进行防范。在上周召开的RSA会议上,CSA(云安全联盟)列出的Tr...

    cppowboy 评论0 收藏0
  • 未修补的高危漏洞影响Apple mac OS计算机 可使恶意文件绕过检查

    摘要:尽管新版已经阻止了前缀,但只要将协议更改为或就可以利用该漏洞有效地绕过检查。目前已将此问题告知苹果公司。目前,该漏洞尚未修补。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body h1,...

    番茄西红柿 评论0 收藏2637
  • 网络安全-常见面试题(Web、渗透测试、密码学、Linux等)

    摘要:攻击者可能会窃取或修改此类保护不力的数据,以实施信用卡欺诈身份盗用或其他犯罪活动。跨站脚本攻击漏洞的防御策略前端过滤字符,后端白名单例如,只允许固定的标签,设置,防止被读取。 目录 WEB安全 OWASP Top 10(2017) Injection - 注入攻击 Broken Authen...

    Caizhenhao 评论0 收藏0
  • Zoom漏洞可使击者拦截数据攻击客户基础设施

    摘要:云视频会议提供商发布了针对其产品中多个漏洞的补丁,这些漏洞可能让犯罪分子窃取会议数据并攻击客户基础设施。研究人员表示,这些漏洞使得攻击者可以输入命令来执行攻击,从而以最大权限获得服务器访问权。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hid...

    morgan 评论0 收藏0
  • TensorFlow 删除 YAML 支持,建议 JSON 作为替补方案!

    摘要:据公告称,和的包装库使用了不安全的函数来反序列化编码的机器学习模型。简单来看,序列化将对象转换为字节流。据悉,本次漏洞影响与版本,的到版本均受影响。作为解决方案,在宣布弃用之后,团队建议开发者以替代序列化,或使用序列化作为替代。 ...

    BlackFlagBin 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<