Cybersicherheitsexperten von Palo Alto Networks haben eine kritische Schwachstelle in GitHub Actions aufgedeckt, die zahlreiche Open-Source-Projekte gefährdet. Die als „ArtiPACKED“ bezeichnete Sicherheitslücke ermöglicht es Angreifern, sensible Authentifizierungstoken und andere vertrauliche Daten aus CI/CD-Workflows zu extrahieren. Betroffen sind unter anderem Projekte von Tech-Giganten wie Google, Microsoft, AWS und Red Hat.
Ursachen und Mechanismen der Sicherheitslücke
Die Hauptursachen für die ArtiPACKED-Schwachstelle liegen in einer Kombination aus unsicheren Standardeinstellungen, Fehlkonfigurationen durch Benutzer und unzureichenden Sicherheitsüberprüfungen. Zwei Hauptszenarien wurden identifiziert:
1. Unbeabsichtigte Token-Exposition durch actions/checkout
Die weit verbreitete GitHub-Aktion „actions/checkout“ speichert standardmäßig ein GitHub-Token im lokalen .git-Verzeichnis. Wenn Entwickler versehentlich das gesamte Checkout-Verzeichnis als Artefakt hochladen, wird dieses Token kompromittiert. Zusätzlich können in diesem Verzeichnis weitere sensible Informationen wie API-Schlüssel oder Cloud-Service-Zugangsdaten gespeichert sein.
2. Logging von Umgebungsvariablen in CI/CD-Pipelines
CI/CD-Pipelines verwenden häufig Umgebungsvariablen zur Speicherung von GitHub-Tokens. Wenn Aktionen oder Skripte diese Variablen absichtlich oder versehentlich protokollieren und die Logs als Artefakte hochgeladen werden, können Angreifer die darin enthaltenen Tokens extrahieren.
Potenzielle Auswirkungen und Risiken
Die Kompromittierung von GitHub-Tokens kann schwerwiegende Folgen haben. Angreifer können dadurch unbefugten Zugriff auf private Repositories erlangen, Quellcode stehlen oder sogar schädlichen Code in Projekte einschleusen. Die Gültigkeitsdauer der Tokens variiert: Während einige nur wenige Minuten aktiv sind, können andere unbegrenzt gültig sein, was das Risiko erhöht.
Entdeckte Angriffsszenarios und betroffene Projekte
Die Forscher von Palo Alto Networks entwickelten automatisierte Skripte, um anfällige Projekte zu identifizieren und Artefakte auf kompromittierte Tokens zu scannen. In ihrer Untersuchung entdeckten sie 14 große Open-Source-Projekte, die von ArtiPACKED betroffen waren. Die betroffenen Entwicklerteams wurden informiert und haben inzwischen Maßnahmen ergriffen, um die Schwachstellen zu beheben.
Empfehlungen zur Risikominimierung
Um das Risiko von Token-Leaks zu reduzieren, empfehlen Cybersicherheitsexperten folgende Maßnahmen:
- Vermeiden Sie das Hochladen ganzer Verzeichnisse als Artefakte
- Implementieren Sie eine gründliche Log-Bereinigung vor dem Hochladen
- Führen Sie regelmäßige Sicherheitsüberprüfungen der CI/CD-Pipeline-Konfigurationen durch
- Passen Sie die Einstellungen potenziell riskanter Aktionen wie actions/checkout an, um die Speicherung von Anmeldeinformationen zu verhindern
Die ArtiPACKED-Schwachstelle unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei der Konfiguration und Verwaltung von CI/CD-Pipelines in Open-Source-Projekten. Entwickler und Organisationen sollten ihre GitHub Actions-Workflows sorgfältig überprüfen und die empfohlenen Sicherheitsmaßnahmen implementieren, um ihre Projekte und sensiblen Daten zu schützen. Nur durch kontinuierliche Aufmerksamkeit und proaktive Sicherheitsmaßnahmen kann die Integrität des Open-Source-Ökosystems gewährleistet werden.