GitHub Actions bieten eine einfache und kostenlose Möglichkeit IP-Adressen rotieren zu lassen, wodurch sie sich ideal für Password-Spraying-Angriffe eignen. Password Spraying ist eine beliebte Form eines Cyberangriffs, bei dem Angreifer versuchen, mit einem einzigen Passwort den Zugriff auf zahlreiche Benutzerkonten probieren, in der Hoffnung, dass das Passwort auf eines der Konten passt. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen zahlreiche Passwörter gegen ein einzelnes Konto getestet werden, zielt Password Spraying darauf ab, die Sicherheitsmechanismen zu umgehen, die bei mehrfachen falschen Versuchen ein Konto sperren würden.
Die Wirksamkeit von Password Spraying beruht auf der Tatsache, dass viele Benutzer einfache und weit verbreitete Passwörter verwenden. Dieser Ansatz minimiert das Risiko, dass der Angriff entdeckt wird, da weniger fehlgeschlagene Anmeldeversuche erfolgen. Die Gefahr, die von solchen Angriffen ausgeht, ist erheblich: Sie können zu unbefugtem Zugriff auf sensible Daten führen und das Vertrauen der Kunden untergraben.
Jedoch fällt es auf, wenn ein Angreifer von immer der selben IP Adresse versucht sich auf mehrere Accounts einzuloggen und hier kommt GitHub Actions ins Spiel. GitHub Actions ermöglicht es, automatisierte Workflows in Softwareentwicklungsprozessen zu integrieren. Jeder Workflow wird in einer YAML-Datei definiert und kann durch verschiedene Ereignisse auf GitHub ausgelöst werden. Die Nutzung von virtuellen Maschinen (VMs) bei GitHub Actions ermöglicht die Rotation von IP-Adressen, was für das Maskieren von Password-Spraying-Angriffen entscheidend sein kann. Bei jedem Ausführen eines Workflows kann eine neue VM mit einer anderen IP-Adresse verwendet werden, wodurch die Herkunft des Angriffs verschleiert wird. Das Github Projekt git-rotate zielt beispielsweise genau auf diese Schwachstelle ab.
Zudem bietet GitHub Actions die Möglichkeit, Netzwerkverbindungen zu privaten Netzwerken herzustellen, was für den Zugriff auf geschützte Ressourcen innerhalb eines Unternehmensnetzwerks von Bedeutung sein kann. Die Verwendung von Technologien wie WireGuard oder Tailscale ermöglicht es, temporäre Overlay-Netzwerke zu erstellen, die für den erfolgreichen Zugriff auf Ziele hinter IP-Allow-Listen notwendig sein können.
Gegen diesen Typ Angriff empfehlen wir daher eine verbindliche und sichere Passwortrichtlinie, die auch gegen Listen bekannter Passwörter und Muster validiert und entsprechend unsichere Passwörter automatisch verbietet, bevor Sie vergeben werden können.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: