{"id":1281281,"date":"2024-08-15T06:59:11","date_gmt":"2024-08-15T08:59:11","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-github-artipacked-expose-les-depots-a-une-prise-de-controle-potentielle\/"},"modified":"2024-08-15T06:59:15","modified_gmt":"2024-08-15T08:59:15","slug":"la-vulnerabilite-github-artipacked-expose-les-depots-a-une-prise-de-controle-potentielle","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-vulnerabilite-github-artipacked-expose-les-depots-a-une-prise-de-controle-potentielle\/","title":{"rendered":"La vuln\u00e9rabilit\u00e9 GitHub \u00ab ArtiPACKED \u00bb expose les d\u00e9p\u00f4ts \u00e0 une prise de contr\u00f4le potentielle"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du Cloud \/ DevOps<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/La-vulnerabilite-GitHub-ArtiPACKED-expose-les-depots-a.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un vecteur d&#8217;attaque nouvellement d\u00e9couvert dans les artefacts GitHub Actions baptis\u00e9 <strong>ArtiPACKED<\/strong> pourrait \u00eatre exploit\u00e9 pour prendre le contr\u00f4le des r\u00e9f\u00e9rentiels et acc\u00e9der aux environnements cloud des organisations.<\/p>\n<p>\u00ab Une combinaison de mauvaises configurations et de failles de s\u00e9curit\u00e9 peut entra\u00eener la fuite de jetons d&#8217;artefacts, \u00e0 la fois de services cloud tiers et de jetons GitHub, les rendant disponibles \u00e0 toute personne disposant d&#8217;un acc\u00e8s en lecture au r\u00e9f\u00e9rentiel pour les consommer \u00bb, a d\u00e9clar\u00e9 Yaron Avital, chercheur de l&#8217;unit\u00e9 42 de Palo Alto Networks. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/github-repo-artifacts-leak-tokens\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>\u00ab Cela permet aux acteurs malveillants ayant acc\u00e8s \u00e0 ces artefacts de compromettre potentiellement les services auxquels ces secrets donnent acc\u00e8s. \u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Microsoft-revele-quatre-failles-OpenVPN-pouvant-conduire-a-des-RCE.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir principalement observ\u00e9 la fuite de jetons GitHub (par exemple, GITHUB_TOKEN et ACTIONS_RUNTIME_TOKEN), qui pourraient non seulement donner aux acteurs malveillants un acc\u00e8s non autoris\u00e9 aux r\u00e9f\u00e9rentiels, mais \u00e9galement leur donner la possibilit\u00e9 d&#8217;empoisonner le code source et de le pousser vers la production via les flux de travail CI\/CD.<\/p>\n<p>Artefacts dans GitHub <a rel=\"nofollow noopener\" href=\"https:\/\/docs.github.com\/en\/actions\/writing-workflows\/choosing-what-your-workflow-does\/storing-and-sharing-data-from-a-workflow\" target=\"_blank\">permettre<\/a> Les utilisateurs peuvent partager des donn\u00e9es entre les t\u00e2ches d&#8217;un workflow et conserver ces informations apr\u00e8s leur ex\u00e9cution pendant 90 jours. Cela peut inclure des builds, des fichiers journaux, des vidages de m\u00e9moire, des sorties de test et des packages de d\u00e9ploiement.<\/p>\n<p>Le probl\u00e8me de s\u00e9curit\u00e9 ici est que ces artefacts sont accessibles au public pour tous dans le cas de projets open source, ce qui en fait une ressource pr\u00e9cieuse pour extraire des secrets comme les jetons d&#8217;acc\u00e8s GitHub.<\/p>\n<p>En particulier, il a \u00e9t\u00e9 d\u00e9couvert que les artefacts exposent une variable d\u2019environnement non document\u00e9e appel\u00e9e ACTIONS_RUNTIME_TOKEN, qui a une dur\u00e9e de vie d\u2019environ six heures et pourrait \u00eatre utilis\u00e9e pour remplacer un artefact par une version malveillante avant son expiration.<\/p>\n<p>Cela pourrait alors ouvrir une fen\u00eatre d&#8217;attaque pour l&#8217;ex\u00e9cution de code \u00e0 distance lorsque les d\u00e9veloppeurs t\u00e9l\u00e9chargent et ex\u00e9cutent directement l&#8217;artefact malveillant ou qu&#8217;il existe un travail de workflow ult\u00e9rieur configur\u00e9 pour s&#8217;ex\u00e9cuter sur la base d&#8217;artefacts pr\u00e9c\u00e9demment t\u00e9l\u00e9charg\u00e9s.<\/p>\n<p>Bien que GITHUB_TOKEN expire \u00e0 la fin du travail, des am\u00e9liorations ont \u00e9t\u00e9 apport\u00e9es \u00e0 la fonctionnalit\u00e9 d&#8217;artefacts avec <a rel=\"nofollow noopener\" href=\"https:\/\/github.blog\/news-insights\/product-news\/get-started-with-v4-of-github-actions-artifacts\/\" target=\"_blank\">version 4<\/a> Cela signifie qu&#8217;un attaquant pourrait exploiter des sc\u00e9narios de conditions de concurrence pour voler et utiliser le jeton en t\u00e9l\u00e9chargeant un artefact pendant qu&#8217;une ex\u00e9cution de workflow est en cours.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Le jeton vol\u00e9 pourrait ensuite \u00eatre utilis\u00e9 pour envoyer du code malveillant vers le r\u00e9f\u00e9rentiel en cr\u00e9ant une nouvelle branche avant la fin de la t\u00e2che du pipeline et l&#8217;invalidation du jeton. Cependant, cette attaque repose sur le fait que le workflow dispose de l&#8217;autorisation \u00ab\u00a0contenu\u00a0: \u00e9criture\u00a0\u00bb.<\/p>\n<p>Plusieurs r\u00e9f\u00e9rentiels open source li\u00e9s \u00e0 Amazon Web Services (AWS), Google, Microsoft, Red Hat et Ubuntu ont \u00e9t\u00e9 identifi\u00e9s comme vuln\u00e9rables \u00e0 l&#8217;attaque. GitHub, pour sa part, a class\u00e9 le probl\u00e8me comme informatif, exigeant que les utilisateurs prennent sur eux de s\u00e9curiser les artefacts qu&#8217;ils ont t\u00e9l\u00e9charg\u00e9s.<\/p>\n<p>\u00ab L&#8217;abandon d&#8217;Artifacts V3 par GitHub devrait inciter les organisations qui utilisent le m\u00e9canisme des artefacts \u00e0 r\u00e9\u00e9valuer la fa\u00e7on dont elles l&#8217;utilisent \u00bb, a d\u00e9clar\u00e9 Avital. \u00ab Les \u00e9l\u00e9ments n\u00e9glig\u00e9s comme les artefacts de build deviennent souvent des cibles de choix pour les attaquants. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/github-vulnerability-artipacked-exposes.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 du Cloud \/ DevOps Un vecteur d&#8217;attaque nouvellement d\u00e9couvert dans les artefacts GitHub Actions baptis\u00e9 ArtiPACKED pourrait \u00eatre exploit\u00e9 pour prendre le contr\u00f4le des r\u00e9f\u00e9rentiels et acc\u00e9der aux environnements cloud des organisations. \u00ab Une combinaison de mauvaises configurations et de failles de s\u00e9curit\u00e9 peut entra\u00eener la fuite de jetons d&#8217;artefacts, \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1281282,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,247766,4168,3976,6124,38727,16209,50438,65,238584,200271,238334,98340,45396,1566,238617,246491,4172,196,4166,3667,238583],"class_list":["post-1281281","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-artipacked","tag-comment-pirater","tag-controle","tag-cyberattaques","tag-depots","tag-expose","tag-github","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-potentielle","tag-prise","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-une","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1281281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1281281"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1281281\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1281282"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1281281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1281281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1281281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}