Eine neue Bedrohung erschüttert das DevOps-Ökosystem. Auf GitHub wurde eine Identitätstäuschungsattacke entdeckt, bei der Tags beliebter Actions auf bösartige Commits umgeleitet wurden. Ziel: Diebstahl von Integrations- und Continuous-Deployment-Anmeldeinformationen, unter Ausnutzung des blinden Vertrauens in weit verbreitete Komponenten.
Angriffsmechanismus: Änderung von Referenzen in Pipelines 🛡️
Die Angreifer änderten die Referenzen von GitHub Actions-Tags, sodass sie auf gefälschte Versionen zeigten. Bei der Ausführung der Pipeline wurde der bösartige Code ohne Verdacht zu erregen aktiviert und entwendete Zugriffstoken und SSH-Schlüssel, die in den Geheimnissen des Repositorys gespeichert waren. Diese Methode nutzt die fehlende Integritätsprüfung bei Abhängigkeiten aus, einen häufigen blinden Fleck in Software-Lieferketten. Die sofortige Lösung besteht darin, SHA-Hashes anstelle von beweglichen Tags zu verwenden.
Blindes Vertrauen: Die Lieblingsbeschäftigung des modernen Entwicklers 🤦
Es stellt sich heraus, dass man sein ganzes Vertrauen in ein GitHub-Tag zu setzen, ohne nachzufragen, so ist, als würde man die Autoschlüssel bei laufendem Motor im Zündschloss stecken lassen. Die Angreifer wissen, dass wir die Bequemlichkeit eines einfachen v1.2.3 lieben, und haben es uns mit einem Diebstahl von Anmeldeinformationen heimgezahlt. Vielleicht ist es an der Zeit, SHA-Commits lesen zu lernen oder zumindest etwas mehr zu misstrauen, was wir von Stack Overflow kopieren.