托管在 GitHub 上的諸多開源項目被曝存在 Auth tokens 泄露問題

派拓網(wǎng)絡(Palo Alto Networks)旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報告,表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權令牌(Auth tokens)泄露問題,讓整個項目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風險。

8 月 16 日消息,派拓網(wǎng)絡(Palo Alto Networks)旗下安全部門 Unit 42 于 8 月 13 日發(fā)布報告,表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權令牌(Auth tokens)泄露問題,讓整個項目面臨數(shù)據(jù)被盜和篡改植入惡意代碼等風險。

托管在 GitHub 上的諸多開源項目被曝存在 Auth tokens 泄露問題

Unit 42 部門發(fā)現(xiàn)包括谷歌、微軟和 AWS 等公司在內,很多開源項目通過 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份驗證 tokens 的問題。

如果惡意行為者發(fā)現(xiàn)了這些 tokens,他們就可以利用它們訪問私有存儲庫、竊取源代碼,甚至篡改源代碼,將合法項目變成惡意軟件。

Unit 42 部門表示,默認設置、用戶錯誤配置和安全檢查不足等問題是上述問題的核心。

其中一個關鍵問題存在于“actions / checkout”操作中,默認情況下,該操作會將 GitHub tokens 保存在本地 .git 目錄中(隱藏)。

但如果開發(fā)者出于某種原因上傳了完整的簽出目錄,就會無意中暴露 .git 文件夾中的 GitHub tokens。

該部門在 GitHub 上共計發(fā)現(xiàn)了 14 個開源項目 tokens:

Firebase (Google)

OpenSearch Security (AWS)

Clair (Red Hat)

Active Directory System (Adsys) (Canonical)

JSON Schemas (Microsoft)

TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)

CycloneDX SBOM (OWASP)

Stockfish

Libevent

Guardian for Apache Kafka (Aiven-Open)

Git Annex (Datalad)

Penrose

Deckhouse

Concrete-ML (Zama AI)

該部門已經(jīng)向 GitHub 和相應的項目所有者報告了這一情況,但 GitHub 表示不會解決這一問題,auth tokens 的安全性完全由項目所有者負責。

原創(chuàng)文章,作者:潮玩君,如若轉載,請注明出處:http://rponds.cn/article/674251.html

潮玩君的頭像潮玩君管理團隊

相關推薦

發(fā)表回復

登錄后才能評論