Des contrôles plus stricts ont été introduits pour résoudre une faiblesse dans GitHub Actions qui permettait de contourner les garanties de révision du code.

Omer Gil et ses collègues de la start-up de sécurité Cider Security ont découvert que le risque de contournement de la révision du code était présent même pour les organisations qui n’avaient pas activé la fonctionnalité GitHub Actions récemment introduite.

Gil a déjà dit La gorgée quotidienne: « Les révisions requises sont l’un des mécanismes de sécurité les plus utilisés dans GitHub, et puisque GitHub Actions est installé par défaut, presque toutes les organisations sont vulnérables à cela. »

GitHub Actions – le service d’intégration continue (CI) de GitHub – offre un mécanisme permettant de créer et d’exécuter des workflows de développement logiciel depuis le développement jusqu’aux systèmes de production.

Dans un article de blog sur MediumCider Security a expliqué comment les faiblesses du contournement des autorisations permettent potentiellement à un développeur malveillant ou à des attaquants d’auto-approuver les demandes d’extraction, ouvrant la porte à l’implantation de logiciels malveillants dans les affluents qui alimentent les logiciels de production.

Un attaquant n’aurait besoin de compromettre qu’un seul compte d’utilisateur avant de tenter une attaque, qui repose sur la modification de la clé d’autorisations dans le fichier de workflow.

Cider Security a été autorisé à publier son point de vue sur la vulnérabilité en octobre dernier, des semaines avant que GitHub ne ferme la faille.

Homme de pension

Comme expliqué dans un article de blog cette semaineGitHub a introduit un nouveau paramètre de stratégie qui permet aux administrateurs système de contrôler si GitHub Actions peut approuver les demandes d’extraction.

« Cela protège contre un utilisateur utilisant des actions pour satisfaire l’exigence de protection de branche » approbations requises « et fusionnant un changement qui n’a pas été examiné par un autre utilisateur », explique GitHub.

« Pour éviter de casser les flux de travail existants, ‘Autoriser les révisions des actions GitHub à compter pour l’approbation requise’ est activé par défaut. Cependant, un administrateur d’organisation peut le désactiver dans les paramètres Actions de l’organisation », a ajouté la société technologique.

La gorgée quotidienne invité GitHub à commenter ce problème, mais nous n’avons pas encore reçu de réponse. Cider Security a mis à jour son article de blog.

Cider Security a déclaré : « Nous vous recommandons d’utiliser ce nouveau paramètre pour interdire aux acteurs malveillants de contourner les règles de protection des branches en approuvant leurs propres demandes d’extraction. »

« Nous vous recommandons d’utiliser ce nouveau paramètre pour interdire aux acteurs malveillants de contourner les règles de protection des branches en approuvant leurs propres demandes d’extraction », a-t-il conclu. Nous mettrons à jour cette histoire au fur et à mesure que nous aurons plus d’informations.

Attaquer le chemin le plus rapide vers la production

Cider Security a rencontré la faille lors de la recherche de nouveaux vecteurs d’attaque CI/CD.

« GitHub a payé pour ce bogue peu de temps après qu’il ait été signalé », a déclaré Gil La gorgée quotidienne. « Leur programme de primes aux bogues est génial – ils répondent rapidement et au point. »

« GitHub a accepté le problème, mais ils ont dit qu’il faudrait un certain temps pour l’atténuer, ils ont donc permis de le divulguer entre-temps », a ajouté Gil.

Gil a dit La gorgée quotidienne que la faille était d’un type sur lequel l’industrie dans son ensemble recevra probablement plus d’attention à l’avenir.

« Les adversaires savent aujourd’hui que le chemin le plus rapide vers la production passe par le CI/CD, et ils en profitent », a averti Gil. « Des voies d’attaque sophistiquées et des failles réelles dans ces zones sont déjà fréquemment observées, et je suis sûr que cela va augmenter. »

LIRE LA SUITE Chrome pour renforcer les protections CSRF avec des vérifications en amont CORS sur les demandes de réseau privé