CI/CD管道中存在安全漏洞，攻擊者可以利用這些漏洞來破壞開發(fā)過程并在部署時推出惡意代碼。

近日，研究人員在Apache和Google的兩個非常流行的開源項(xiàng)目的GitHub環(huán)境中發(fā)現(xiàn)了一對安全漏洞，可用于秘密修改項(xiàng)目源代碼、竊取機(jī)密并在組織內(nèi)部橫向移動。

據(jù)Legit Security的研究人員稱，這些問題是持續(xù)集成/持續(xù)交付（CI/CD）缺陷，可能威脅到全球更多的開源項(xiàng)目，目前主要影響Google Firebase項(xiàng)目和Apache運(yùn)行的流行集成框架項(xiàng)目。

研究人員將這種漏洞模式稱為“GitHub環(huán)境注入”。它允許攻擊者通過寫入一個名為“GITHUB_ENV”的GitHub環(huán)境變量創(chuàng)建一個特制的有效負(fù)載，來控制易受攻擊項(xiàng)目的GitHub Actions管道。具體來說，問題存在于GitHub在構(gòu)建機(jī)器中共享環(huán)境變量的方式，它允許攻擊者對其進(jìn)行操作以提取信息，包括存儲庫所有權(quán)憑證。

Legit Security首席技術(shù)官兼聯(lián)合創(chuàng)始人Liav Caspi補(bǔ)充道，這個概念是，構(gòu)建Actions本身信任這些提交以供審查的代碼，不需要任何人對其進(jìn)行審查。更糟糕的是，任何對GitHub做出過貢獻(xiàn)的人都可以觸發(fā)它，而無需任何人對其進(jìn)行審查。所以，這個一個非常強(qiáng)大且危險的漏洞。

不要忽視CI/CD管道的安全性

根據(jù)Caspi的說法，他的團(tuán)隊(duì)在對CI/CD管道的持續(xù)調(diào)查中發(fā)現(xiàn)了這些漏洞。隨著“SolarWinds式”供應(yīng)鏈缺陷的激增，他們一直在尋找GitHub生態(tài)系統(tǒng)中的缺陷，因?yàn)樗情_源世界和企業(yè)開發(fā)中最受歡迎的源代碼管理（SCM）系統(tǒng)之一，因此也是將漏洞注入軟件供應(yīng)鏈的天然工具。

他解釋稱，

“這些缺陷既體現(xiàn)了GitHub平臺設(shè)計(jì)方式的設(shè)計(jì)缺陷，也體現(xiàn)了不同的開源項(xiàng)目和企業(yè)如何使用該平臺。如果您非常了解風(fēng)險并有意規(guī)避許多有風(fēng)險的操作，您可能會編寫一個非常安全的構(gòu)建腳本。但我認(rèn)為沒有人真正意識到這一點(diǎn)，GitHub Actions中有一些非常危險的機(jī)制用于日常構(gòu)建操作?！?/p>

他建議稱，企業(yè)開發(fā)團(tuán)隊(duì)?wèi)?yīng)始終對GitHub Action和其他構(gòu)建系統(tǒng)保持“零信任”原則，假設(shè)他們用于構(gòu)建的組件都可能會被攻擊者利用，然后隔離環(huán)境并審查代碼。

正如Caspi所解釋的那樣，這些缺陷不僅表明開源項(xiàng)目本身是供應(yīng)鏈漏洞的潛在載體，而且構(gòu)成CI/CD管道及其集成的代碼也是如此。

好消息是，目前這兩個漏洞都已得到修復(fù)。

原文鏈接：https://www.darkreading.com/vulnerabilities-threats/code-injection-bugs-google-apache-open-source-github-projects