15 de agosto de 2024Ravie LakshmananSeguridad en la nube / DevOps Un vector de ataque recientemente descubierto en los artefactos de GitHub Actions, denominado ArtiPACKED, podría explotarse para apoderarse de los repositorios y obtener acceso a los entornos de nube de las organizaciones. «Una combinación de configuraciones erróneas y fallas de seguridad puede hacer que los artefactos filtren tokens, tanto de servicios de nube de terceros como de tokens de GitHub, lo que los pone a disposición de cualquier persona con acceso de lectura al repositorio para su consumo», dijo el investigador de la Unidad 42 de Palo Alto Networks, Yaron Avital, en un informe publicado esta semana. «Esto permite a los actores maliciosos con acceso a estos artefactos el potencial de comprometer los servicios a los que estos secretos otorgan acceso». La empresa de ciberseguridad dijo que observó principalmente la fuga de tokens de GitHub (por ejemplo, GITHUB_TOKEN y ACTIONS_RUNTIME_TOKEN), que no solo podrían dar a actores maliciosos acceso no autorizado a los repositorios, sino que también les otorgarían la capacidad de envenenar el código fuente y enviarlo a producción a través de flujos de trabajo de CI/CD. Los artefactos en GitHub permiten a los usuarios compartir datos entre trabajos en un flujo de trabajo y conservar esa información después de que se haya completado durante 90 días. Esto puede incluir compilaciones, archivos de registro, volcados de núcleo, resultados de prueba y paquetes de implementación. El problema de seguridad aquí es que estos artefactos están disponibles públicamente para cualquier persona en el caso de proyectos de código abierto, lo que los convierte en un recurso valioso para extraer secretos como tokens de acceso a GitHub. En particular, se ha descubierto que los artefactos exponen una variable de entorno no documentada llamada ACTIONS_RUNTIME_TOKEN, que tiene una vida útil de aproximadamente seis horas y podría usarse para sustituir un artefacto con una versión maliciosa antes de que caduque. Esto podría abrir una ventana de ataque para la ejecución remota de código cuando los desarrolladores descarguen y ejecuten directamente el artefacto malicioso o exista un trabajo de flujo de trabajo posterior que esté configurado para ejecutarse en función de artefactos cargados previamente. Si bien GITHUB_TOKEN caduca cuando finaliza el trabajo, las mejoras realizadas a la función de artefactos con la versión 4 significaron que un atacante podría explotar escenarios de condición de carrera para robar y usar el token descargando un artefacto mientras se ejecuta un flujo de trabajo. El token robado podría usarse posteriormente para enviar código malicioso al repositorio mediante la creación de una nueva rama antes de que finalice el trabajo de canalización y se invalide el token. Sin embargo, este ataque se basa en que el flujo de trabajo tenga el permiso «contents: write». Se ha descubierto que varios repositorios de código abierto relacionados con Amazon Web Services (AWS), Google, Microsoft, Red Hat y Ubuntu son susceptibles al ataque. GitHub, por su parte, ha categorizado el problema como informativo, lo que requiere que los usuarios se encarguen de proteger sus artefactos cargados. «La descontinuación de Artifacts V3 por parte de GitHub debería impulsar a las organizaciones que utilizan el mecanismo de artefactos a reevaluar la forma en que lo utilizan», dijo Avital. «Los elementos que se pasan por alto, como los artefactos de compilación, a menudo se convierten en objetivos principales para los atacantes». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.