CI/CD流水线存在安全漏洞,攻击者可利用该漏洞扰乱开发流程并在部署时推送恶意代码。研究人员在两个非常流行的开源项目Apache和Google的GitHub环境中发现了一对安全漏洞,可用于秘密修改项目源代码、窃取机密以及在组织内横向移动。据LegitSecurity的研究人员称,这些问题是持续集成/持续交付(CI/CD)缺陷,可能威胁到全球更多的开源项目,目前主要影响GoogleFirebase项目和Apache运行的流行集成框架项目。研究人员将这种漏洞模式称为“GitHub环境注入”。它允许攻击者通过写入名为“GITHUB_ENV”的GitHub环境变量来创建特制的有效负载,以控制易受攻击项目的GitHubActions管道。具体来说,问题在于GitHub在构建机器之间共享环境变量的方式,这允许攻击者操纵它们来提取信息,包括存储库所有权凭证。LegitSecurity的首席技术官兼联合创始人LiavCaspi补充说,这个概念是BuildActions本身信任这些提交的代码进行审查,而不需要任何人审查它们。更糟糕的是,任何曾经为GitHub做过贡献的人都可以触发它,而无需任何人审查。因此,这是一个非常强大且危险的漏洞。不要忽视CI/CD管道安全根据Caspi的说法,他的团队在对CI/CD管道进行持续调查期间发现了这些漏洞。随着“SolarWinds式”供应链缺陷的扩散,他们一直在寻找GitHub生态系统中的缺陷,因为它是开源世界和企业开发中最受欢迎的源代码管理(SCM)系统之一,并且因此,漏洞是注入软件供应链的天然工具之一。他解释说,“这些缺陷既表明了GitHub平台设计方式的设计缺陷,也表明了不同的开源项目和企业使用该平台的方式。如果你非常清楚风险并有意避免许多风险操作,你可以写一个非常安全的构建脚本。但我认为没有人真正意识到GitHubActions中有一些非常危险的机制用于日常构建操作。”他建议,企业开发团队应该始终警惕GitHubActions和其他构建系统。遵循“零信任”原则,假设他们构建的组件可以被攻击者利用,然后隔离环境并审查代码。正如Caspi解释的那样,这些缺陷不仅表明开源项目本身是供应链漏洞的潜在载体,而且还表明构成CI/CD管道及其集成的代码。好消息是这两个错误目前都已修复。原文链接:https://www.darkreading.com/vulnerabilities-threats/code-injection-bugs-google-apache-open-source-github-projects
