Google Project Zero znów uderzył. Tym razem zawodowi hakerzy znaleźli poważny błąd w działaniu GitHuba. Repozytoria są narażona na ataki ze wstrzyknięciem kodu z zewnątrz.
Felix Wilhelm z Google Project Zero znalazł podatność w systemie poleceń GitHub Actions. Wada pozwala na ataki ze wstrzyknięciem szkodliwego kodu. Interpreter sprawdza każdą linię tekstu, który otrzyma, w poszukiwaniu wykonywalnych poleceń i wykonuje wszystkie, które znajdzie. Jeśli akcja przekaże do wykonania szkodliwe dane z zewnątrz, nieszczęście gotowe. W ten sposób można było zmienić domyślne ścieżki i zmienne systemowe, by przygotować grunt pod kolejne etapy ataku. Wilhelm twierdzi, że na atak podatne są prawie wszystkie repozytoria na GitHubie, gdzie wykorzystane są bardziej złożone akcje.
To nie koniec złych wiadomości. Specjalista z Google Project Zero przyznał, że nie wie, jak można tę lukę załatać. Sposób, w jaki zostały zaimplementowane akcje, jest od podstaw wadliwy. Można próbować zmienić składnię i wyłączyć część poleceń, ale na dłuższą metę trzeba odizolować wykonywanie akcji od reszty platformy. To nie będzie łatwe – inne części GitHuba są zależne od tego systemu.
Zobacz: GitHub walczy z rasizmem. Gałąź „master” zmieni na „main”
Zobacz: Kod Microsoftu w rękach przestępców. Było małe włamanie na GitHub
Google project Zero dał Microsoftowi standardowe 90 dni na naprawienie błędu. Właściciel GitHuba został powiadomiony 21 czerwca. Na razie zastosowane zostało rozwiązanie tymczasowe, czyli wyłączenie poleceń, które mogły stanowić zagrożenie. Microsoft poprosił też o przesunięcie terminu ujawnienia luki o 2 tygodnie – na 2 listopada – by powiadomić wszystkich klientów GitHuba i by wszyscy mogli się dostosować do zmian.
Luka została już ujawniona, razem z przykładowym atakiem. Microsoft prosił jeszcze o dodatkowe 48 godzin dla prowadzących repozytoria, ale było to niezgodne z zasadami działania Google Project Zero.
Źródło zdjęć: GitHub
Źródło tekstu: Google Project Zero
