19 mars 2025Ravie LakshmananVulnérabilité / DevSecops

L’Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA) ajouté Une vulnérabilité liée au compromis de la chaîne d’approvisionnement de l’action GitHub, des actions TJ / Files modifiées, à son catalogue connu vulnérabilités exploitées (KEV).

Le défaut de haute sévérité, suivi comme CVE-2025-30066 (Score CVSS: 8.6), implique la violation de l’action GitHub pour injecter un code malveillant qui permet à un attaquant distant d’accéder aux données sensibles via des journaux d’actions.

“L’action GitHub-Aactions / Files modifiée contient une vulnérabilité de code malveillant intégré qui permet à un attaquant distant de découvrir des secrets en lisant les journaux des actions”, CISA dit dans une alerte.

Cybersécurité

“Ces secrets peuvent inclure, sans s’y limiter, les clés d’accès AWS valides, les jetons d’accès personnels GitHub (PATS), les jetons NPM et les clés RSA privées.”

La société de sécurité de cloud Wiz a depuis révélé que l’attaque peut être une instance d’une attaque en cascade de la chaîne d’approvisionnement, les acteurs de menace non identifiés compromettant d’abord l’action de revuedog / actions @ v1 github pour infiltrer les actions TJ / changements modifiés.

“TJ-Action / Eslint-Changed-Files utilise ReviewDog / Action-Settup @ V1, et le référentiel TJ-Action / Files modifiés exécute ce TJ-Action / Eslint-Changed-Files Action avec un jeton d’accès personnel”, le chercheur Wiz Rami McCarthy dit. “L’action ReviewDog a été compromise à peu près à la même fenêtre de temps que le compromis TJ-Action Pat.”

On ne sait actuellement pas comment cela s’est produit. Mais le compromis aurait eu lieu le 11 mars 2025. La violation des actions TJ / Files modifiées s’est produite à un moment donné avant le 14 mars.

Compromis de la chaîne d'approvisionnement de l'action github

Cela signifie que l’action REVIEWDOG infectée pourrait être utilisée pour insérer du code malveillant dans tous les workflows CI / CD à l’aide, dans ce cas, une charge utile codée de base64 qui est annexée dans un fichier nommé Install.sh utilisé par le flux de travail.

Comme dans le cas des actions TJ, la charge utile est conçue pour exposer les secrets des référentiels exécutant le flux de travail dans les journaux. Le problème affecte une seule étiquette (v1) de ReviewDog / Action-Settup.

Les responsables des actions TJ ont révélé que l’attaque était le résultat d’un jeton d’accès personnel GitHub compromis (PAT) qui a permis aux attaquants de modifier le référentiel avec du code non autorisé.

Cybersécurité

“Nous pouvons dire que l’attaquant a eu un accès suffisant pour mettre à jour la balise V1 vers le code malveillant qu’ils avaient placé sur une fourche du référentiel”, a déclaré McCarthy.

“L’organisation ReviewDog Github a une base de contributeurs relativement importante et semble ajouter activement des contributeurs par le biais d’invitations automatisées. Cela augmente la surface d’attaque pour l’accès d’un contributeur à avoir été compromis ou un accès des contributeurs à avoir été acquis de manière malveillante.”

À la lumière du compromis, il est conseillé aux utilisateurs touchés et aux agences fédérales de mettre à jour la dernière version des actions TJ / Files modifiées (46.0.1) d’ici le 4 avril 2025, pour sécuriser leurs réseaux contre les menaces actives. Mais étant donné la cause profonde, il existe un risque de réapparition.

En plus de remplacer les actions affectées par des alternatives plus sûres, il est conseillé de combler les flux de travail passés pour une activité suspecte, de faire pivoter tous les secrets divulgués et d’épingler toutes les actions GitHub vers des hachages de validation spécifiques au lieu de balises de version.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57