Un vector de ataque recientemente descubierto en los artefactos de GitHub Actions denominado ArtiPACKED<\/strong> Podr\u00edan ser explotados para apoderarse de repositorios y obtener acceso a los entornos de nube de las organizaciones.<\/p>\n “Una combinaci\u00f3n de configuraciones err\u00f3neas y fallas de seguridad puede hacer que los artefactos filtren tokens, tanto de servicios de nube de terceros como de tokens de GitHub, lo que los pone a disposici\u00f3n de cualquier persona con acceso de lectura al repositorio para su consumo”, dijo el investigador de la Unidad 42 de Palo Alto Networks, Yaron Avital. dicho<\/a> en un informe publicado esta semana.<\/p>\n “Esto permite que los actores maliciosos con acceso a estos artefactos tengan el potencial de comprometer los servicios a los que estos secretos otorgan acceso”.<\/p>\n La empresa de ciberseguridad afirm\u00f3 que observ\u00f3 principalmente la fuga de tokens de GitHub (por ejemplo, GITHUB_TOKEN y ACTIONS_RUNTIME_TOKEN), que no solo podr\u00edan brindar a actores maliciosos acceso no autorizado a los repositorios, sino tambi\u00e9n otorgarles la capacidad de envenenar el c\u00f3digo fuente y enviarlo a producci\u00f3n a trav\u00e9s de flujos de trabajo de CI\/CD.<\/p>\n Artefactos en GitHub permitir<\/a> Los usuarios pueden compartir datos entre trabajos en un flujo de trabajo y conservar esa informaci\u00f3n despu\u00e9s de que se haya completado durante 90 d\u00edas. Esto puede incluir compilaciones, archivos de registro, volcados de memoria, resultados de pruebas y paquetes de implementaci\u00f3n.<\/p>\n El problema de seguridad aqu\u00ed es que estos artefactos est\u00e1n disponibles p\u00fablicamente para cualquier persona en el caso de proyectos de c\u00f3digo abierto, lo que los convierte en un recurso valioso para extraer secretos como los tokens de acceso de GitHub.<\/p>\n En particular, se ha descubierto que los artefactos exponen una variable de entorno no documentada llamada ACTIONS_RUNTIME_TOKEN, que tiene una vida \u00fatil de aproximadamente seis horas y podr\u00eda usarse para sustituir un artefacto con una versi\u00f3n maliciosa antes de que expire.<\/p>\n Esto podr\u00eda abrir una ventana de ataque para la ejecuci\u00f3n remota de c\u00f3digo cuando los desarrolladores descargan y ejecutan directamente el artefacto malicioso o existe un trabajo de flujo de trabajo posterior que est\u00e1 configurado para ejecutarse en funci\u00f3n de artefactos cargados previamente.<\/p>\n Si bien GITHUB_TOKEN expira cuando finaliza el trabajo, las mejoras realizadas en la funci\u00f3n de artefactos con versi\u00f3n 4<\/a> significaba que un atacante podr\u00eda explotar escenarios de condiciones de carrera para robar y usar el token descargando un artefacto mientras se ejecuta un flujo de trabajo.<\/p>\n El token robado podr\u00eda usarse posteriormente para enviar c\u00f3digo malicioso al repositorio mediante la creaci\u00f3n de una nueva rama antes de que finalice el trabajo de canalizaci\u00f3n y el token se invalide. Sin embargo, este ataque se basa en que el flujo de trabajo tenga el permiso “contenido: escritura”.<\/p>\n Se ha descubierto que varios repositorios de c\u00f3digo abierto relacionados con Amazon Web Services (AWS), Google, Microsoft, Red Hat y Ubuntu son susceptibles al ataque. GitHub, por su parte, ha clasificado el problema como informativo y exige que los usuarios se encarguen de proteger sus artefactos cargados.<\/p>\n “La descontinuaci\u00f3n de Artifacts V3 por parte de GitHub deber\u00eda impulsar a las organizaciones que utilizan el mecanismo de artefactos a reevaluar la forma en que lo utilizan”, dijo Avital. “Los elementos que se pasan por alto, como los artefactos de compilaci\u00f3n, a menudo se convierten en objetivos principales para los atacantes”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-vulnerabilidad-de-GitHub-ArtiPACKED-expone-los-repositorios-a-una.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n