Специалисты из Unit 42 выявили утечки токенов аутентификации GitHub в нескольких крупных проектах с открытым исходным кодом, что создает угрозу кражи данных и внесения вредоносных изменений в код. Об этом они сообщили в недавно опубликованном отчёте.
Исследователи из Unit 42 обнаружили этот инцидент и проинформировали как GitHub, так и владельцев затронутых проектов. Однако GitHub заявил, что решение данной проблемы не входит в его обязанности, так как ответственность за безопасность токенов аутентификации полностью лежит на владельцах проектов.
По словам экспертов Unit 42, утечки токенов были обнаружены в проектах с открытым исходным кодом, принадлежащих таким компаниям, как Google, Microsoft и AWS. Эти токены передавались через артефакты GitHub Actions в рабочих процессах CI/CD. В случае, если злоумышленники обнаружат эти токены, они смогут получить доступ к закрытым репозиториям, похитить исходный код или даже подменить его, что может привести к превращению легитимных проектов в вредоносные программы.
В Unit 42 считают, что основными причинами проблемы являются небезопасные настройки по умолчанию, неправильная конфигурация пользователей и недостаточный уровень проверки безопасности.
Одной из уязвимостей является действие actions/checkout, которое по умолчанию сохраняет токен GitHub в скрытом локальном каталоге .git, поскольку он необходим для аутентифицированных операций. Однако, если разработчик случайно загрузит весь каталог checkout, то он может непреднамеренно раскрыть токен GitHub, находящийся внутри папки .git.
Всего специалисты обнаружили 14 проектов с открытым исходным кодом, принадлежащих крупным организациям, в которых токены GitHub находятся под угрозой. Обо всех найденных уязвимостях они сообщили владельцам соответствующих проектов.
Полная версия отчёта представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Unit 42: во многих топовых проектах с открытым исходным кодом обнаружена утечка токенов аутентификации GitHub".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
