{"id":1628621,"date":"2025-03-19T10:54:42","date_gmt":"2025-03-19T10:54:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/cisa-advierte-sobre-la-explotacion-activa-en-el-compromiso-de-la-cadena-de-suministro-de-la-accion-de-github\/"},"modified":"2025-03-19T10:54:47","modified_gmt":"2025-03-19T10:54:47","slug":"cisa-advierte-sobre-la-explotacion-activa-en-el-compromiso-de-la-cadena-de-suministro-de-la-accion-de-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cisa-advierte-sobre-la-explotacion-activa-en-el-compromiso-de-la-cadena-de-suministro-de-la-accion-de-github\/","title":{"rendered":"CISA advierte sobre la explotaci\u00f3n activa en el compromiso de la cadena de suministro de la acci\u00f3n de GitHub"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ DevSecops<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el martes agregado<\/a> Una vulnerabilidad vinculada al compromiso de la cadena de suministro de la acci\u00f3n de GitHub, TJ-Actions\/Change-Files, con su cat\u00e1logo de vulnerabilidades explotadas (KEV) conocidas.<\/p>\n

El defecto de alta severidad, rastreado como CVE-2025-30066<\/a> (Puntuaci\u00f3n CVSS: 8.6), implica la violaci\u00f3n de la acci\u00f3n de GitHub para inyectar c\u00f3digo malicioso que permite a un atacante remoto acceder a datos confidenciales a trav\u00e9s de registros de acciones.<\/p>\n

“La acci\u00f3n GitHub TJ-Actions\/Cambied-Files contiene una vulnerabilidad de c\u00f3digo malicioso integrado que permite a un atacante remoto descubrir secretos leyendo registros de acciones”, CISA “, CISA dicho<\/a> en una alerta.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Estos secretos pueden incluir, entre otros, claves de acceso de AWS v\u00e1lidas, tokens de acceso personal GitHub (PATS), tokens NPM y claves RSA privadas”.<\/p>\n

Desde entonces, la compa\u00f1\u00eda de seguridad en la nube Wiz ha revelado que el ataque puede haber sido una instancia de un ataque de la cadena de suministro en cascada, con actores de amenaza no identificados que comprometen primero la acci\u00f3n de revisi\u00f3n\/acci\u00f3n-setup@v1 github para infiltrarse en tj-acciones\/archivos cambiados.<\/p>\n

“TJ-Actions\/Eslint-Changed-Files utiliza reviseDog\/Action-setup@V1, y el repositorio de archivos TJ-Actions\/cambiado ejecuta esta acci\u00f3n de archivos TJ-Actions\/Eslint-Changed con un token de acceso personal”, investigador de Wiz Rami McCarthy dicho<\/a>. “La acci\u00f3n ReviewDog se vio comprometida durante aproximadamente la misma ventana de tiempo que el compromiso de PAT de TJ-Actions”.<\/p>\n

Actualmente no est\u00e1 claro c\u00f3mo tuvo lugar. Pero se dice que el compromiso ocurri\u00f3 el 11 de marzo de 2025. La violaci\u00f3n de las actividades TJ\/archivos cambiados ocurri\u00f3 en alg\u00fan momento antes del 14 de marzo.<\/p>\n

\"Compromiso<\/a><\/div>\n

Esto significa que la acci\u00f3n de revisi\u00f3n infectada podr\u00eda usarse para insertar c\u00f3digo malicioso en cualquier flujo de trabajo CI\/CD que lo use, en este caso una carga \u00fatil codificada por Base64 que se adjunta a un archivo llamado Install.Sh utilizado por el flujo de trabajo.<\/p>\n

Al igual que en el caso de TJ-Actions, la carga \u00fatil est\u00e1 dise\u00f1ada para exponer secretos de repositorios que ejecutan el flujo de trabajo en los registros. El problema impacta solo una etiqueta (V1) de ReviewDog\/Action-Setup.<\/p>\n

Los mantenedores de TJ-Actions han revelado que el ataque fue el resultado de un token de acceso personal GitHub comprometido (PAT) que permiti\u00f3 a los atacantes modificar el repositorio con c\u00f3digo no autorizado.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Podemos decir que el atacante obtuvo suficiente acceso para actualizar la etiqueta V1 al c\u00f3digo malicioso que hab\u00edan colocado en una bifurcaci\u00f3n del repositorio”, dijo McCarthy.<\/p>\n

“La organizaci\u00f3n ReviewDog GitHub tiene una base de contribuyentes relativamente grande y parece estar agregando activamente contribuyentes a trav\u00e9s de invitaciones automatizadas. Esto aumenta la superficie de ataque para que el acceso de un contribuyente haya sido comprometido o el acceso de los contribuyentes se haya ganado maliciosamente”.<\/p>\n

A la luz del compromiso, se aconseja a los usuarios afectados y a las agencias federales que actualicen la \u00faltima versi\u00f3n de TJ-Actions\/Cambied-Files (46.0.1) antes del 4 de abril de 2025, para asegurar sus redes contra las amenazas activas. Pero dada la causa ra\u00edz, existe un riesgo de recurrencia. <\/p>\n

Adem\u00e1s de reemplazar las acciones afectadas con alternativas m\u00e1s seguras, se recomienda auditar flujos de trabajo pasados \u200b\u200bpara actividades sospechosas, gire cualquier secreto filtrado y fije todas las acciones de GitHub a hash de confirmaci\u00f3n espec\u00edficos en lugar de etiquetas de versi\u00f3n.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n