Investigadores de seguridad han descubierto recientemente una vulnerabilidad en la cadena de suministro dentro de Bazel, uno de los productos emblemáticos de código abierto de Google. La falla se centró en una vulnerabilidad de inyección de comandos en un flujo de trabajo de GitHub Actions dependiente, lo que potencialmente permitía a actores maliciosos insertar código dañino en el código base de Bazel. Según los investigadores de Cycode, la gravedad de esta situación significa que podría afectar a millones de proyectos y usuarios en diversas plataformas, incluidas Kubernetes, Angular, Uber, LinkedIn, Databricks, Dropbox, Nvidia y el propio Google. Desde un punto de vista técnico, el descubrimiento se centró en GitHub Actions, una plataforma de integración y entrega continua (CI/CD). Las GitHub Actions permiten a los usuarios automatizar los procesos de creación, prueba e implementación a través de flujos de trabajo personalizables. Sin embargo, el uso de acciones personalizadas, que funcionan como tareas de flujo de trabajo individuales, introduce complejidades y posibles riesgos de seguridad. Lea más sobre las vulnerabilidades de GitHub: Expertos en seguridad instan a TI a bloquear los servicios de GitHub En un aviso publicado hoy, Cycode enfatizó que las amplias dependencias en los flujos de trabajo, que a menudo utilizan acciones de terceros, plantean desafíos para proteger la cadena de suministro de software. La investigación de la compañía se centra en las vulnerabilidades dentro de las dependencias indirectas, como las acciones personalizadas, que pueden residir en diferentes repositorios, ecosistemas y bajo diversos mantenedores. El artículo analiza el riesgo introducido por las acciones personalizadas dentro del ecosistema de acciones de GitHub, particularmente las acciones compuestas, que combinan múltiples pasos del flujo de trabajo en una sola acción. El aviso también profundiza en los detalles de la vulnerabilidad descubierta dentro del flujo de trabajo de GitHub Actions de Bazel, detallando los pasos desde la activación del flujo de trabajo hasta el punto de inyección. Una preocupación clave es la capacidad de inyectar y ejecutar comandos arbitrarios debido a la falta de una validación de entrada adecuada en las acciones compuestas. Al informar de inmediato la vulnerabilidad a través del Programa de recompensas por vulnerabilidades de Google el 1 de noviembre de 2023, el equipo de investigación de Cycode recibió el reconocimiento días después. Luego, Google abordó y rectificó los componentes vulnerables dentro de Bazel antes del 5 de diciembre. Se implementaron las correcciones necesarias, incluidas actualizaciones de los permisos básicos del flujo de trabajo y modificaciones de la acción dependiente, eliminando la vulnerabilidad de inyección de comandos. Crédito de la imagen: JUGO DE CEREZA/Shutterstock.com

Source link