Im Mai 2024 hat das Forscherteam von Synacktiv eine Methode veröffentlicht, mit der Angreifer GitHub Runners hijacken können, um Organisationen zu kompromittieren. Durch die Registrierung eines selbst gehosteten Runners mit dem Tag ubuntu-latest
kann ein Angreifer Zugriff auf Jobs erhalten, die ursprünglich für von GitHub bereitgestellte Runners vorgesehen waren. Dies ermöglicht die Kompromittierung von Workflows, das Stehlen von CI/CD-Geheimnissen und das Einschleusen von bösartigem Code in Repositories.
Die Forscher untersuchten den Zugriff eines Entwicklers auf die GitHub-Organisation, um die Auswirkungen eines kompromittierten Kontos oder eines böswilligen Entwicklers zu bewerten. Es wurden zwei Repositories eingerichtet: ein verwundbares und ein sensibles Repository, das CI/CD-Geheimnisse für die Bereitstellung der Infrastruktur in Cloud-Providern enthielt.
Die Schwachstelle wurde durch einen anfälligen Workflow ermöglicht, der auf einem selbst gehosteten Runner ausgeführt wurde. Ein Angreifer konnte durch die Erstellung eines bösartigen Pull-Requests und das Kommentieren dieses Requests die Ausführung von schädlichem Code erzwingen.
Ein Python-Skript namens gh-hijack-runner
wurde daraufhin entwickelt, um einen gefälschten GitHub-Runner zu erstellen und Pipeline-Jobs zu hijacken, um CI/CD-Geheimnisse zu stehlen. Dieses Skript kann durch den Einsatz eines Registrierungstokens oder durch die Übernahme eines bestehenden selbst gehosteten Runners genutzt werden.
Diese Sicherheitslücke stellt eine erhebliche Gefahr für GitHub-Nutzer dar, da sie es Angreifern ermöglicht, die Kontrolle über Workflows zu übernehmen und sensible Daten zu stehlen. Organisationen sollten ihre Sicherheitsmaßnahmen überprüfen und sicherstellen, dass ihre Runners angemessen geschützt sind. Weitere Details und das Skript sind auf Github verfügbar.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: