Atkal uzbrūk sīkumi: plaši izplatīts GitHub Actions tags apdraud noslēpumus

Atkal uzbrukums: plaši izplatīts GitHub Actions tags apdraud noslēpumus

Programmatūras piegādes ķēdes drošība ir tik spēcīga, cik spēcīga ir tās vājākais posms. Neskaitāmām izstrādes komandām šī saite ir kļuvusi par rīkiem, uz kuriem tās paļaujas, lai atrastu ievainojamības. Satraucošā notikumu pavērsienā Trivy, populārs atvērtā pirmkoda ievainojamības skeneris, ko uztur Aqua Security, nokļuva sarežģīta uzbrukuma centrā. Ļaunprātīgi dalībnieki uzlauza noteiktu versijas tagu (v0.48.0) tās GitHub Actions repozitorijā, ievadot kodu, kas paredzēts sensitīvu noslēpumu zagšanai no jebkuras darbplūsmas, kurā tas tika izmantots. Šis incidents ir nopietns atgādinājums, ka mūsu savstarpēji saistītajās attīstības ekosistēmās uzticība ir nepārtraukti jāpārbauda, nevis jāpieņem.

Taga kompromitēšanas uzbrukuma anatomija

Tas nebija Trivy galvenās lietojumprogrammas koda pārkāpums, bet gan gudra CI/CD automatizācijas izjaukšana. Uzbrucēji mērķēja uz GitHub Actions repozitoriju, izveidojot faila "action.yml" ļaunprātīgu versiju tagam "v0.48.0". Ja izstrādātāja darbplūsma atsaucās uz šo konkrēto tagu, darbība pirms likumīgās Trivy skenēšanas izpildes izpildīs kaitīgu skriptu. Šis skripts tika izstrādāts, lai izfiltrētu noslēpumus, piemēram, repozitorija pilnvaras, mākoņa nodrošinātāja akreditācijas datus un API atslēgas, uz attālo serveri, kuru kontrolē uzbrucējs. Šī uzbrukuma mānīgais raksturs slēpjas tā specifikā; izstrādātāji, kas izmanto drošākus tagus @v0.48 vai @main, netika ietekmēti, taču tie, kuri piesprauda tieši apdraudēto tagu, neapzināti ieviesa savā konveijerā kritisku ievainojamību.

Kāpēc šis incidents atbalsojas visā DevOps pasaulē

Trivy kompromiss ir nozīmīgs vairāku iemeslu dēļ. Pirmkārt, Trivy ir pamata drošības rīks, ko miljoniem izmanto, lai meklētu ievainojamības konteineros un kodos. Uzbrukums drošības rīkam grauj pamata uzticību, kas nepieciešama drošai attīstībai. Otrkārt, tas izceļ pieaugošo tendenci, ka uzbrucēji pārvietojas "augšup pa straumi", mērķējot uz rīkiem un atkarībām, uz kurām ir balstīta cita programmatūra. Saindējot vienu plaši izmantotu komponentu, viņi, iespējams, var piekļūt plašam pakārtotu projektu un organizāciju tīklam. Šis incidents kalpo kā kritiska gadījuma izpēte piegādes ķēdes drošības jomā, parādot, ka neviens rīks, lai cik tas arī būtu cienījams, nav pasargāts no izmantošanas kā uzbrukuma vektors.

"Šis uzbrukums demonstrē izsmalcinātu izpratni par izstrādātāju uzvedību un CI/CD mehāniku. Konkrētas versijas taga piespraušana bieži tiek uzskatīta par labāko praksi stabilitātes nodrošināšanai, taču šis incidents parāda, ka tas var arī radīt risku, ja konkrētā versija tiek apdraudēta. Mācība ir tāda, ka drošība ir nepārtraukts process, nevis vienreizēja iestatīšana."

Tūlītējas darbības, lai nodrošinātu GitHub darbības

Pēc šī incidenta izstrādātājiem un drošības komandām ir jāveic aktīvi pasākumi, lai nostiprinātu savas GitHub Actions darbplūsmas. Pašapmierinātība ir drošības ienaidnieks. Šeit ir norādītas būtiskas darbības, kas jāveic nekavējoties:

• Izmantojiet SHA piespraušanu, nevis tagus: vienmēr atsaucieties uz darbībām, izmantojot to pilno izpildes jaukšanu (piemēram, `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). Tas ir vienīgais veids, kā garantēt, ka izmantojat nemainīgu darbības versiju.
• Pārbaudiet pašreizējās darbplūsmas: rūpīgi pārbaudiet savu .github/workflows direktoriju. Identificējiet visas darbības, kas ir piespraustas tagiem, un pārslēdziet tās, lai veiktu SHA, īpaši attiecībā uz kritiskiem drošības rīkiem.
• Izmantojiet GitHub drošības līdzekļus: iespējojiet vajadzīgās statusa pārbaudes un pārskatiet iestatījumu “workflow_permissions”, pēc noklusējuma iestatot tos tikai lasāmus, lai samazinātu iespējamo kaitējumu, ko var radīt apdraudēta darbība.
• Pārraugiet neparastas darbības: ieviesiet CI/CD konveijeru reģistrēšanu un uzraudzību, lai atklātu negaidītus izejošos tīkla savienojumus vai nesankcionētas piekļuves mēģinājumus, izmantojot jūsu noslēpumus.

Elastīga pamata izveide ar Mewayz

Lai gan ir ļoti svarīgi nodrošināt atsevišķus rīkus, patiesu noturību nodrošina holistiska pieeja jūsu biznesa darbībām. Tādi incidenti kā Trivy kompromiss atklāj slēptās sarežģītības un riskus, kas ietverti mūsdienu instrumentu ķēdēs. Tāda platforma kā Mewayz to risina, nodrošinot vienotu, modulāru biznesa operētājsistēmu, kas samazina atkarības izplešanos un centralizē vadību. Tā vietā, lai žonglētu ar duci atšķirīgu pakalpojumu — katram ir savs drošības modelis un atjaunināšanas cikls, Mewayz integrē tādas pamatfunkcijas kā projektu pārvaldība, CRM un dokumentu apstrāde vienā drošā vidē. Šī konsolidācija samazina uzbrukuma virsmu un vienkāršo drošības pārvaldību, ļaujot komandām koncentrēties uz funkciju izveidi, nevis pastāvīgi lāpot ievainojamības fragmentētā programmatūras stekā. Pasaulē, kurā viens apdraudēts tags var izraisīt nopietnu pārkāpumu, Mewayz piedāvātā integrētā drošība un racionalizētās darbības nodrošina labāk kontrolētu un pārbaudāmu pamatu izaugsmei.

Bieži uzdotie jautājumi

Atkal uzbrūk sīkumi: plaši izplatīts GitHub Actions tags apdraud noslēpumus

Programmatūras piegādes ķēdes drošība ir tik spēcīga, cik spēcīga ir tās vājākais posms. Neskaitāmām izstrādes komandām šī saite ir kļuvusi par rīkiem, uz kuriem tās paļaujas, lai atrastu ievainojamības. Satraucošā notikumu pavērsienā Trivy, populārs atvērtā pirmkoda ievainojamības skeneris, ko uztur Aqua Security, nokļuva sarežģīta uzbrukuma centrā. Ļaunprātīgi dalībnieki uzlauza noteiktu versijas tagu (v0.48.0) tās GitHub Actions repozitorijā, ievadot kodu, kas paredzēts sensitīvu noslēpumu zagšanai no jebkuras darbplūsmas, kurā tas tika izmantots. Šis incidents ir nopietns atgādinājums, ka mūsu savstarpēji saistītajās attīstības ekosistēmās uzticība ir nepārtraukti jāpārbauda, nevis jāpieņem.

Taga kompromitēšanas uzbrukuma anatomija

Tas nebija Trivy galvenās lietojumprogrammas koda pārkāpums, bet gan gudra CI/CD automatizācijas izjaukšana. Uzbrucēji mērķēja uz GitHub Actions repozitoriju, izveidojot faila "action.yml" ļaunprātīgu versiju tagam "v0.48.0". Ja izstrādātāja darbplūsma atsaucās uz šo konkrēto tagu, darbība pirms likumīgās Trivy skenēšanas izpildes izpildīs kaitīgu skriptu. Šis skripts tika izstrādāts, lai izfiltrētu noslēpumus, piemēram, repozitorija pilnvaras, mākoņa nodrošinātāja akreditācijas datus un API atslēgas, uz attālo serveri, kuru kontrolē uzbrucējs. Šī uzbrukuma mānīgais raksturs slēpjas tā specifikā; izstrādātāji, kas izmanto drošākus tagus @v0.48 vai @main, netika ietekmēti, taču tie, kuri piesprauda tieši apdraudēto tagu, neapzināti ieviesa savā konveijerā kritisku ievainojamību.

Kāpēc šis incidents atbalsojas visā DevOps pasaulē

Trivy kompromiss ir nozīmīgs vairāku iemeslu dēļ. Pirmkārt, Trivy ir pamata drošības rīks, ko miljoniem izmanto, lai meklētu ievainojamības konteineros un kodos. Uzbrukums drošības rīkam grauj pamata uzticību, kas nepieciešama drošai attīstībai. Otrkārt, tas izceļ pieaugošo tendenci, ka uzbrucēji pārvietojas "augšup pa straumi", mērķējot uz rīkiem un atkarībām, uz kurām ir balstīta cita programmatūra. Saindējot vienu plaši izmantotu komponentu, viņi, iespējams, var piekļūt plašam pakārtotu projektu un organizāciju tīklam. Šis incidents kalpo kā kritiska gadījuma izpēte piegādes ķēdes drošības jomā, parādot, ka neviens rīks, lai cik tas arī būtu cienījams, nav pasargāts no izmantošanas kā uzbrukuma vektors.

Tūlītējas darbības, lai nodrošinātu GitHub darbības

Pēc šī incidenta izstrādātājiem un drošības komandām ir jāveic aktīvi pasākumi, lai nostiprinātu savas GitHub Actions darbplūsmas. Pašapmierinātība ir drošības ienaidnieks. Šeit ir norādītas būtiskas darbības, kas jāveic nekavējoties:

Elastīga pamata izveide ar Mewayz

Lai gan ir ļoti svarīgi nodrošināt atsevišķus rīkus, patiesu noturību nodrošina holistiska pieeja jūsu biznesa darbībām. Tādi incidenti kā Trivy kompromiss atklāj slēptās sarežģītības un riskus, kas ietverti mūsdienu instrumentu ķēdēs. Tāda platforma kā Mewayz to risina, nodrošinot vienotu, modulāru biznesa operētājsistēmu, kas samazina atkarības izplešanos un centralizē vadību. Tā vietā, lai žonglētu ar duci atšķirīgu pakalpojumu — katram ir savs drošības modelis un atjaunināšanas cikls, Mewayz integrē tādas pamatfunkcijas kā projektu pārvaldība, CRM un dokumentu apstrāde vienā drošā vidē. Šī konsolidācija samazina uzbrukuma virsmu un vienkāršo drošības pārvaldību, ļaujot komandām koncentrēties uz funkciju izveidi, nevis pastāvīgi lāpot ievainojamības fragmentētā programmatūras stekā. Pasaulē, kurā viens apdraudēts tags var izraisīt nopietnu pārkāpumu, Mewayz piedāvātā integrētā drošība un racionalizētās darbības nodrošina labāk kontrolētu un pārbaudāmu pamatu izaugsmei.