Serangan rantai pasokan cascading yang dimulai dengan kompromi dari aksi github “ReviewDog/Action-setup@V1” diyakini telah menyebabkan pelanggaran baru-baru ini dari “aksi-aksi/perubahan file” yang membocorkan rahasia CI/CD.
Minggu lalu, a Serangan rantai pasokan pada aksi TJ/ubah Tindakan GitHub menyebabkan kode berbahaya menulis rahasia CI/CD ke log alur kerja untuk 23.000 repositori. Jika log -log itu telah dipublikasikan, maka penyerang akan dapat mencuri rahasia.
Pengembang TJ-aksi tidak dapat menunjukkan dengan tepat bagaimana penyerang mengkompromikan token akses pribadi GitHub (PAT) yang digunakan oleh bot untuk melakukan perubahan kode berbahaya.
Saat ini, para peneliti Wiz berpikir mereka mungkin telah menemukan jawaban dalam bentuk serangan rantai pasokan yang dimulai dengan tindakan github lain bernama ‘ReviewDog/Action-Setup.’
Perusahaan cybersecurity melaporkan bahwa penyerang pertama-tama mengkompromikan tag V1 untuk tindakan github ulasan/aksi-setup dan menyuntikkan kode serupa dengan rahasia rahasia CI/CD untuk mencatat file.
Ketika file-action-actions/Eslint-changed-Files memanfaatkan tindakan ulasan/aksi-setel, diyakini bahwa tindakan yang dikompromikan digunakan untuk membuang token akses pribadi TJ-action dan mencurinya.
“Kami percaya bahwa kemungkinan kompromi dari ReviewDog/Action-setup adalah akar penyebab kompromi dari TJ-actions-Bot Pat,” menjelaskan wiz dalam laporan.
“TJ-Actions/Eslint-Changed-Files menggunakan ReviewDog/Action-setup@V1, dan repositori TJ-actions/Change-Files menjalankan tindakan-action-action-changed-file ini dengan token akses pribadi.”
“Tindakan ReviewDog dikompromikan selama jendela waktu yang kira-kira sama dengan kompromi TJ-aksi Pat.”
Para penyerang memasukkan muatan yang dikodekan base64 ke dalam install.sh, menyebabkan rahasia dari alur kerja CI yang terpengaruh diekspos.
Seperti dalam kasus aksi TJ, rahasia yang diekspos akan terlihat pada repositori publik sebagai bagian dari log alur kerja.
.jpg)
Sumber: Wiz
Terlepas dari tag ReviewDog/Action-setup@V1 yang telah dikonfirmasi sebagai dilanggar, tindakan berikut ini juga dapat dipengaruhi:
- ReviewDog/Action-Shellcheck
- ReviewDog/Action-Composite-Template
- ReviewDog/Action-StaticCheck
- ReviewDog/Action-ATT-Grep
- ReviewDog/Action-Typos
Wiz menjelaskan bahwa pelanggaran keamanan di ReviewDog diperbaiki secara kebetulan, tetapi mereka memberi tahu tim dan Github tentang temuan mereka untuk mencegah terulangnya kembali.
Meskipun metode yang tepat dari pelanggaran belum ditentukan, Wiz berkomentar bahwa Review Dog mempertahankan pangkalan kontributor besar dan menerima anggota baru melalui undangan otomatis, yang secara alami meningkatkan risiko.
Khususnya, jika tindakan tersebut tetap dikompromikan, serangan berulang pada aksi TJ/yang diubah dengan hasil yang berhasil akan mungkin dilakukan secara praktis, berpotensi memperlihatkan rahasia CI/CD yang baru saja diputar.
Rekomendasi
Wiz menyarankan agar proyek yang berpotensi terkena dampak Kueri GitHub ini Untuk memeriksa referensi ke ReviewDog/Action-setup@V1 di repositori.
Jika payload base64 yang dikodekan ganda ditemukan dalam log alur kerja, ini harus diambil sebagai konfirmasi rahasia mereka bocor.
Pengembang harus segera menghapus semua referensi untuk tindakan yang terpengaruh di seluruh cabang, menghapus log alur kerja, dan memutar rahasia yang berpotensi terbuka.
Untuk mencegah kompromi serupa di masa mendatang, pin tindakan GitHub untuk melakukan hash alih-alih tag versi dan gunakan fitur yang diizinkan GitHub untuk membatasi tindakan yang tidak sah.
Serangan rantai pasokan dan rahasia CI/CD yang bocor pasti memiliki efek abadi pada proyek yang terkena dampak, sehingga tindakan cepat diperlukan untuk mengurangi risiko.
