Github Actions lassen sich für Password Spraying Attacken ausnutzen

GitHub Actions bieten eine einfache und kostenlose Möglichkeit IP-Adressen rotieren zu lassen, wodurch sie sich ideal für Password-Spraying-Angriffe eignen. Password Spraying ist eine beliebte Form eines Cyberangriffs, bei dem Angreifer versuchen, mit einem einzigen Passwort den Zugriff auf zahlreiche Benutzerkonten probieren, in der Hoffnung, dass das Passwort auf eines der Konten passt. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen, bei denen zahlreiche Passwörter gegen ein einzelnes Konto getestet werden, zielt Password Spraying darauf ab, die Sicherheitsmechanismen zu umgehen, die bei mehrfachen falschen Versuchen ein Konto sperren würden.

Die Wirksamkeit von Password Spraying beruht auf der Tatsache, dass viele Benutzer einfache und weit verbreitete Passwörter verwenden. Dieser Ansatz minimiert das Risiko, dass der Angriff entdeckt wird, da weniger fehlgeschlagene Anmeldeversuche erfolgen. Die Gefahr, die von solchen Angriffen ausgeht, ist erheblich: Sie können zu unbefugtem Zugriff auf sensible Daten führen und das Vertrauen der Kunden untergraben.

Jedoch fällt es auf, wenn ein Angreifer von immer der selben IP Adresse versucht sich auf mehrere Accounts einzuloggen und hier kommt GitHub Actions ins Spiel. GitHub Actions ermöglicht es, automatisierte Workflows in Softwareentwicklungsprozessen zu integrieren. Jeder Workflow wird in einer YAML-Datei definiert und kann durch verschiedene Ereignisse auf GitHub ausgelöst werden. Die Nutzung von virtuellen Maschinen (VMs) bei GitHub Actions ermöglicht die Rotation von IP-Adressen, was für das Maskieren von Password-Spraying-Angriffen entscheidend sein kann. Bei jedem Ausführen eines Workflows kann eine neue VM mit einer anderen IP-Adresse verwendet werden, wodurch die Herkunft des Angriffs verschleiert wird. Das Github Projekt git-rotate zielt beispielsweise genau auf diese Schwachstelle ab.

Zudem bietet GitHub Actions die Möglichkeit, Netzwerkverbindungen zu privaten Netzwerken herzustellen, was für den Zugriff auf geschützte Ressourcen innerhalb eines Unternehmensnetzwerks von Bedeutung sein kann. Die Verwendung von Technologien wie WireGuard oder Tailscale ermöglicht es, temporäre Overlay-Netzwerke zu erstellen, die für den erfolgreichen Zugriff auf Ziele hinter IP-Allow-Listen notwendig sein können.

Gegen diesen Typ Angriff empfehlen wir daher eine verbindliche und sichere Passwortrichtlinie, die auch gegen Listen bekannter Passwörter und Muster validiert und entsprechend unsichere Passwörter automatisch verbietet, bevor Sie vergeben werden können.

Related Posts

Gehackte Wordpress verwenden Client Browser für DDOS Angriffe

WordPress-Websites werden zunehmend Ziel von Hackerangriffen, bei denen die Browser von Besuchern für schädliche Operationen missbraucht werden. Eine kürzliche Untersuchung von Sucuri offenbart, dass Cyberkriminelle WordPress-Seiten kompromittieren, um in HTML-Vorlagen bösartigen Code einzuschleusen. Sobald ein Besucher die betroffene Website aufruft, wird dieser Code aus einer spezifischen URL in seinen Browser geladen und initiiert dort unerwünschte Aktivitäten. WordPress-Websites von Hackern dazu missbraucht, ein bösartiges Skript einzuschleusen, das die Browser der Besucher für DDoS-Angriffe (Distributed Denial of Service) gegen bestimmte Websites verwendet. Sobald geladen, zwingt das JavaScript den Browser des Besuchers dazu, HTTP GET-Anfragen an die aufgeführten Websites zu senden, ohne dass die Website-Betreiber oder die Besucher davon wissen.

Read More

Lucifer Malware bringt Apache Big-Data Lösungen ins schwitzen

Das Lucifer DDoS-Botnetz hat es auf Apache Big-Data-Lösungen abgesehen. Insbesondere sind Apache Hadoop und Apache Druid ins Visier genommen worden. Cyberkriminelle nutzen bestehende Fehlkonfigurationen und Schwachstellen in diesen Diensten, um ihre Angriffe durchzuführen.

Read More

CVE-2024-1403: OpenEdge Authentication Gateway Bypass

OpenEdge-Authentifizierungsumgehung OpenEdge, eine Entwicklungs- und Bereitstellungsplattform-Suite, weist eine eine hochkritische Schwachstelle in der Authentifizierungsumgehung auf, die bestimmte Komponenten der Plattform betrifft. Diese Schwachstelle ermöglicht unberechtigten Zugriff bei Versuchen, sich anzumelden, wenn das OpenEdge Authentication Gateway (OEAG) mit einem OpenEdge-Domain konfiguriert ist, das den lokalen Authentifizierungsanbieter des Betriebssystems verwendet, um Benutzer-ID- und Passwort-Anmeldungen auf von aktiven OpenEdge-Versionen unterstützten Betriebssystemplattformen zu gewähren. Die Schwachstelle wird als CVE-2024-1403 verfolgt und hat eine kritische Schweregradbewertung mit einem CVSS-Wert von 10 / 10 erhalten.

Read More