GitHub 行动的高风险漏洞警告

文章重点

• CISA 已将 GitHub Action tj-actions/changed files 的高危漏洞纳入其已知被利用漏洞名单。
• 此漏洞由 Wiz 的安全研究人员于 3 月 17 日披露，并导致大量 GitHub 仓库泄漏敏感信息。
• 专家建议受影响的组织立即更换密钥和行动。
• 今后，组织需强化数据保护措施，以防止数据泄漏和错误配置。

简介

美国网络安全和基础设施安全局（）在3月18日将 GitHub Action tj-actions/changed files的一个高危漏洞纳入其（KEV）名单中。这一漏洞（）由 Wiz 的安全研究人员于3月17日的中首次指出，相关的供应链攻击在上个周末导致许多泄漏了它们的秘密。

Checkmarx 的安全研究倡导者 Darren Meyer 在上指出，这次的攻击导致敏感信息泄漏到运行日志中，任何拥有“读取”权限的使用者均可获取这些信息。

Meyer 建议使用受影响的行动的公共仓库的安全团队应假设 GitHub工作流程中的任何秘密都已经泄漏，并应立即进行更换。他写道：“暂时移除公共访问，将受影响行动移除或替换为安全的替代品，旋转受影响的秘密，并在修复完成后恢复公共访问。”

GitHub Action作为持续集成和持续交付（CI/CD）服务，帮助开发者自动化软件构建和测试。工作流程是由特定事件触发的，例如当新的代码提交到仓库时。而这一次，攻击者在行动中发现了一个恶意提交，修改了其代码并向多个版本标签中回溯性地更新了参考这一恶意提交的内容。

根据 CISA 的信息，这些恶意代码能让远程攻击者通过查看这些行动日志来发现秘密。这些秘密可能包括有效的 AWS 访问密钥、GitHub个人访问令牌、npm 令牌以及私有 RSA 密钥，等等。

“SILVA” 的首席执行官 Joe Silva说：“过去主要是国家级行动的供应链攻击，如今越来越多地扩展到非国家行为者，因为对攻击的技术和经济限制正在降低。”他表示，这类攻击的扩散以及所造成的信任缺失，使得组织对软件风险的实时可见性变得更加重要，而不仅仅依赖泄露/CVE或在遭受影响的软件被利用后再进行攻击检测。

Sentra 的网络安全倡导者 David Stuart 补充说，这次对 GitHub的攻击强调了对数据泄漏和代码仓库错误配置进行更好保护的关键需要。他指出，防止数据丧失——无论是由于过度暴露、错误配置，还是意外包含如密码和秘密的敏感信息——都需要主动的措施。

“组织应专注于两个领域：加强数据姿态管理以识别和保护敏感数据，并持续监测针对存储重要知识产权或凭据的数据商店的威胁，”Stuart说。“通过采取这些措施，企业可以减少敏感数据落入错误之手的风险。”