Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Vulnerabilidad ‘ArtiPACKED’ en GitHub expone repositorios a toma de control

Vulnerabilidad ‘ArtiPACKED’ en GitHub expone repositorios a toma de control

por Dragora

Un nuevo vector de ataque denominado ArtiPACKED ha sido descubierto en los artefactos de GitHub Actions, lo que podría permitir a los ciberdelincuentes tomar control de repositorios y acceder a los entornos en la nube de las organizaciones.

Yaron Avital, investigador de la Unidad 42 de Palo Alto Networks, destacó en un reciente informe que «una combinación de configuraciones incorrectas y fallas de seguridad puede provocar que los artefactos filtren tokens de servicios en la nube de terceros y de GitHub, haciéndolos accesibles a cualquiera con permisos de lectura en el repositorio». Esto podría facilitar a actores maliciosos la comprometida de servicios que dependen de estos secretos.

La fuga de tokens de GitHub (como GITHUB_TOKEN y ACTIONS_RUNTIME_TOKEN) representa un riesgo significativo. Los atacantes pueden no solo obtener acceso no autorizado a repositorios, sino también modificar el código fuente y llevarlo a producción a través de flujos de trabajo de CI/CD.

Riesgos Asociados a los Artefactos en GitHub

Los artefactos en GitHub permiten a los usuarios compartir datos entre trabajos en un flujo de trabajo y conservar esa información durante 90 días. Sin embargo, en proyectos de código abierto, estos artefactos son accesibles públicamente, lo que los convierte en un recurso valioso para los atacantes que buscan extraer secretos como los tokens de acceso.

Un aspecto preocupante es la exposición de la variable de entorno no documentada ACTIONS_RUNTIME_TOKEN, con una vida útil de aproximadamente seis horas. Esta podría ser utilizada por atacantes para sustituir un artefacto por una versión maliciosa antes de su expiración, creando una ventana de ataque para la ejecución remota de código.

Vulnerabilidades en Repositorios de Grandes Empresas

Se ha descubierto que varios repositorios de código abierto de gigantes tecnológicos como Amazon Web Services (AWS), Google, Microsoft, Red Hat y Ubuntu son susceptibles a este ataque. GitHub ha clasificado este problema como informativo, delegando la responsabilidad de proteger los artefactos cargados a los usuarios.

Recomendaciones de Seguridad

  1. Reevaluación del Uso de Artefactos: Con la obsolescencia de Artifacts V3, las organizaciones deben reevaluar cómo utilizan el mecanismo de artefactos en sus flujos de trabajo.
  2. Protección de Tokens: Implementar medidas adicionales para proteger los tokens, asegurando que los flujos de trabajo críticos tengan permisos estrictos, como «contents: write», solo cuando sea necesario.
  3. Monitoreo Continuo: Adoptar prácticas de monitoreo avanzado para detectar cualquier acceso no autorizado a artefactos o intentos de modificar el código en repositorios.
  4. Actualización de Flujos de Trabajo: Asegurar que los flujos de trabajo en GitHub estén configurados para minimizar la exposición de secretos y limitar el acceso a artefactos solo a usuarios o procesos autorizados.

Vulnerabilidad de GitHub

Implicaciones de Seguridad y Consecuencias Potenciales

La vulnerabilidad ArtiPACKED no solo expone a los repositorios de código abierto, sino que también plantea serias implicaciones para la seguridad de los entornos empresariales en la nube. Al aprovechar esta vulnerabilidad, los atacantes pueden introducir código malicioso en repositorios críticos, lo que podría desencadenar una cadena de eventos perjudiciales, incluyendo:

  1. Compromiso de la Integridad del Código: La modificación no autorizada de código fuente puede llevar a la inserción de puertas traseras, malware u otras formas de ataques persistentes que podrían permanecer ocultos durante meses.
  2. Acceso No Autorizado a Recursos en la Nube: Los tokens comprometidos pueden ser utilizados para acceder a servicios en la nube como AWS, Azure, o Google Cloud Platform (GCP), permitiendo a los atacantes explotar recursos, robar datos sensibles o lanzar nuevos ataques desde la infraestructura comprometida.
  3. Daños a la Reputación: Las empresas que sufran un ataque debido a la explotación de ArtiPACKED podrían enfrentar un daño significativo a su reputación, especialmente si el incidente resulta en la divulgación de datos confidenciales o interrupciones en el servicio.

Medidas Proactivas para Mitigar Riesgos

Para protegerse contra la explotación de ArtiPACKED, es crucial que las organizaciones adopten un enfoque proactivo en la gestión de la seguridad de sus repositorios GitHub y entornos de CI/CD:

  1. Revisión de Configuraciones: Auditar y revisar las configuraciones de los flujos de trabajo en GitHub Actions para garantizar que los artefactos y secretos estén protegidos adecuadamente. Deshabilitar el acceso público a los artefactos siempre que sea posible.
  2. Rotación Regular de Tokens: Implementar políticas de rotación regular de tokens y otros secretos para minimizar el impacto de cualquier posible fuga. Asegurarse de que los tokens se invaliden inmediatamente después de su uso.
  3. Integración de Herramientas de Seguridad: Utilizar herramientas de seguridad que puedan monitorear y analizar flujos de trabajo de CI/CD en busca de configuraciones inseguras o actividad sospechosa, como SonarQube o Snyk.
  4. Capacitación Continua del Equipo: Proporcionar formación continua a los desarrolladores y equipos de seguridad sobre las mejores prácticas para la gestión de secretos y la configuración segura de flujos de trabajo en GitHub.

Respuesta de GitHub y la Comunidad de Seguridad

Hasta el momento, GitHub ha clasificado el problema de ArtiPACKED como informativo, sugiriendo que los usuarios tomen medidas para proteger sus artefactos cargados. Sin embargo, la comunidad de seguridad sigue de cerca la evolución de esta amenaza, y es posible que futuras actualizaciones o parches se implementen para mitigar el riesgo de manera más efectiva.

En fin la vulnerabilidad ArtiPACKED en GitHub Actions subraya la importancia de la seguridad en los entornos de desarrollo continuo y despliegue continuo (CI/CD). Con la creciente dependencia de estos entornos para la entrega de software, es esencial que las organizaciones tomen medidas inmediatas para proteger sus repositorios y entornos en la nube de posibles ataques.

Al seguir las recomendaciones de seguridad y mantenerse informados sobre las últimas amenazas, las empresas pueden reducir significativamente el riesgo de sufrir un ataque devastador como resultado de la explotación de ArtiPACKED.

Fuente: The Hacker News 

You may also like

Dejar Comentario

Click to listen highlighted text!