1. 首頁 > 生活百科 > >

GitHub個人訪問Token被曝光后威脅激增,攻擊者可直達云環境

機器人人工智能稚暉君

GitHub個人訪問Token被曝光后威脅激增,攻擊者可直達云環境

許多企業使用GitHub Action Secrets來存儲和保護CI/CD工作流程中使用的敏感信息 , 如憑證、API密鑰和Token 。 這些私有代碼庫通常被認為是安全且鎖定的 。
但根據Wiz客戶事件響應團隊的最新研究 , 攻擊者正在利用這種盲目信任 。 他們發現威脅行為者正在使用暴露的GitHub個人訪問Token(PATs)來訪問GitHub Action Secrets , 并潛入云環境 , 然后大肆破壞 。
Beauceron Security的David Shipley表示:\"根本問題是這些密鑰存在于代碼庫中 。 云服務提供商的訪問密鑰是黃金 , 它們可能有極長的生命周期 , 這正是攻擊者嗅探的目標 。 \"
Wiz估計 , 73%使用私有GitHub Action Secrets代碼庫的組織在其中存儲云服務提供商(CSP)憑證 。 當允許開發人員和自動化機器人與GitHub代碼庫和工作流程交互的PATs被利用時 , 攻擊者可以輕松橫向移動到CSP控制平面 。
Info-Tech Research Group技術顧問Erik Avakian解釋說 , PATs可能成為一個\"強大的跳板\" , 允許攻擊者冒充開發人員并執行各種活動 。 他說 , 這就像擁有進入公司云環境的后臺通行證 。
\"一旦他們持有有效的PAT , 就可以在GitHub中做各種事情 , 直接通向公司的AWS、Azure、GCP或其他類型的云服務 , 因為GitHub將該PAT視為真正的開發人員 , \"他說 。
有了這種訪問權限 , 威脅行為者可以\"探索\"各種代碼庫和工作流程 , 尋找任何暗示云訪問、配置項、腳本和隱藏密鑰的內容 。 如果他們獲得真正的云憑證 , 就\"擁有了公司AWS存儲桶、Azure訂閱和其他工作流程的密鑰\" 。
然后他們可以啟動云資源、訪問數據庫、竊取源代碼、安裝加密貨幣挖礦機等惡意文件、潛入惡意工作流程 , 甚至轉向其他云服務 , 同時建立持久化機制 , 以便隨時返回 。
Avakian說:\"到那時 , 基本上你在云中能做的任何事情 , 他們也能做 。 \"
【GitHub個人訪問Token被曝光后威脅激增,攻擊者可直達云環境】Wiz發現 , 擁有通過PAT的基本讀取權限的威脅行為者可以使用GitHub的API代碼搜索來發現直接嵌入在工作流程yaml代碼中的密鑰名稱 , 通過\"${{ secrets.SECRET_NAME \"訪問 。
危險在于這種密鑰發現方法難以監控 , 因為搜索API調用不會被記錄 。 此外 , GitHub托管的Actions從使用合法共享IP地址的GitHub管理資源運行 , 這些地址不會被標記為惡意 。 攻擊者可以濫用密鑰 , 冒充工作流程來源以利用信任 , 如果代碼配置錯誤或在工作流程中的其他地方重用 , 可能會訪問其他資源 。 他們還可以持續訪問系統 。
此外 , 如果被利用的PAT具有寫入權限 , 攻擊者可以執行惡意代碼并刪除工作流程日志和運行記錄、拉取請求以及\"創建的分支\"(開發實驗的代碼庫隔離副本) 。 由于工作流程日志很少流入安全事件和事件管理(SIEM)平臺 , 攻擊者可以輕易逃避檢測 。
同樣值得注意的是 , 開發人員有權訪問GitHub組織的PAT使私有代碼庫變得脆弱;Wiz研究發現 , 45%的組織將明文云密鑰私密存儲 , 而只有8%存儲在公共代碼庫中 。
Shipley指出:\"在一些開發人員的想法中 , 私有代碼庫等于安全 , 但顯然并不安全 。 \"
為了防范這些威脅 , Avakian指出 , 企業應該像對待任何其他特權憑證一樣對待PATs 。 云基礎設施和云開發環境應該被適當鎖定 , 本質上通過微分段和特權用戶管理來\"零信任化\"它們 , 以包含它們并防止橫向轉移 。
Avakian說:\"像任何其他憑證一樣 , 當Token具有合理的過期日期時 , 它們最為安全 。 使Token過期、輪換它們 , 并使用短期憑證將有助于阻止這些類型的風險 。 \"
最小權限原則 , 只給賬戶所需的權限 , 而不是\"管理一切\"的方法 , Avakian建議 。 更重要的是 , 將云密鑰移出GitHub工作流程 , 并確保有適當的監控和日志審查流程來標記意外或異常的工作流程或云創建事件 。
Beauceron的Shipley同意 , 企業需要多管齊下的策略、良好的監控、即時響應計劃 , 以及通過\"有意義的后果\"來強化不合規行為的開發人員培訓流程 。 必須激勵開發人員遵循安全編碼最佳實踐;在開發團隊中建立強大的安全文化非常重要 。 他說:\"你不能為問題的這一部分購買一個閃爍的盒子 。 \"
Shipley說:\"犯罪分子已經提升了他們的游戲水平 。 組織別無選擇 。 他們必須在這些領域投資 , 否則就會付出代價 。 \"
此外 , 他補充說 , 停止盲目信任GitHub代碼庫 。 \"代碼庫的本質是它們永遠存在 。 如果你不知道代碼庫中是否有云密鑰 , 你需要去找到它們 。 如果它們在那里 , 你需要昨天就更改它們 , 并且需要停止添加新的 。 \"
如果有好的一面 , 他指出 , 企業是\"自己成功的受害者\" , 因為他們通過多因素身份驗證(MFA)提高了標準 。 一般安全意識的提高使犯罪分子更難獲得訪問權限和身份并入侵系統 。
Shipley說:\"在某種程度上 , 這是一個好兆頭 。 以一種滑稽的方式 , 這意味著犯罪分子現在正在進入需要更多努力的更深層次 。 \"
Q&A
Q1:什么是GitHub個人訪問Token(PATs) , 為什么它們成為安全威脅?
A:GitHub個人訪問Token是允許開發人員和自動化機器人與GitHub代碼庫和工作流程交互的憑證 。 當PATs被暴露或利用時 , 攻擊者可以冒充開發人員 , 訪問GitHub Action Secrets , 進而潛入云環境 , 獲得AWS、Azure、GCP等云服務的控制權 。
Q2:攻擊者通過GitHub PATs可以進行哪些惡意活動?
A:攻擊者可以啟動云資源、訪問數據庫、竊取源代碼、安裝加密貨幣挖礦機等惡意文件、植入惡意工作流程 , 甚至轉向其他云服務 。 他們還能建立持久化機制以便隨時返回 , 基本上可以執行用戶在云環境中能做的任何操作 。
Q3:企業應該如何防范GitHub PATs相關的安全威脅?
A:企業應將PATs視為特權憑證來管理 , 設置合理的過期時間并定期輪換 。 實施最小權限原則 , 將云密鑰移出GitHub工作流程 , 建立適當的監控和日志審查流程 。 同時加強開發人員安全培訓 , 建立強大的安全文化 , 停止盲目信任GitHub代碼庫 。


    推薦閱讀