Hijacking von GitHub Runnern durch Ubuntu-Latest Tag

Im Mai 2024 hat das Forscherteam von Synacktiv eine Methode veröffentlicht, mit der Angreifer GitHub Runners hijacken können, um Organisationen zu kompromittieren. Durch die Registrierung eines selbst gehosteten Runners mit dem Tag ubuntu-latest kann ein Angreifer Zugriff auf Jobs erhalten, die ursprünglich für von GitHub bereitgestellte Runners vorgesehen waren. Dies ermöglicht die Kompromittierung von Workflows, das Stehlen von CI/CD-Geheimnissen und das Einschleusen von bösartigem Code in Repositories.

Die Forscher untersuchten den Zugriff eines Entwicklers auf die GitHub-Organisation, um die Auswirkungen eines kompromittierten Kontos oder eines böswilligen Entwicklers zu bewerten. Es wurden zwei Repositories eingerichtet: ein verwundbares und ein sensibles Repository, das CI/CD-Geheimnisse für die Bereitstellung der Infrastruktur in Cloud-Providern enthielt.

Die Schwachstelle wurde durch einen anfälligen Workflow ermöglicht, der auf einem selbst gehosteten Runner ausgeführt wurde. Ein Angreifer konnte durch die Erstellung eines bösartigen Pull-Requests und das Kommentieren dieses Requests die Ausführung von schädlichem Code erzwingen.

Ein Python-Skript namens gh-hijack-runner wurde daraufhin entwickelt, um einen gefälschten GitHub-Runner zu erstellen und Pipeline-Jobs zu hijacken, um CI/CD-Geheimnisse zu stehlen. Dieses Skript kann durch den Einsatz eines Registrierungstokens oder durch die Übernahme eines bestehenden selbst gehosteten Runners genutzt werden.

Diese Sicherheitslücke stellt eine erhebliche Gefahr für GitHub-Nutzer dar, da sie es Angreifern ermöglicht, die Kontrolle über Workflows zu übernehmen und sensible Daten zu stehlen. Organisationen sollten ihre Sicherheitsmaßnahmen überprüfen und sicherstellen, dass ihre Runners angemessen geschützt sind. Weitere Details und das Skript sind auf Github verfügbar.

Related Posts

Schwachstellen in OpenMetadata ermöglichen Angriffe auf Kubernetes-Cluster

Microsoft Threat Intelligence hat einen neuen Angriff entdeckt, bei dem kritische Schwachstellen in OpenMetadata ausgenutzt werden, um Kubernetes-Workloads zu kompromittieren und für Krypto-Mining-Aktivitäten zu nutzen. OpenMetadata ist eine Open-Source-Plattform zur Verwaltung von Metadaten über verschiedene Datenquellen hinweg.

Read More

Kritische RCE-Sicherheitslücke in Confluence Data Center und Server entdeckt

Eine schwerwiegende Sicherheitslücke (CVE-2024-21683) wurde in Version 5.2 von Confluence Data Center und Server entdeckt, die eine Remote-Code-Ausführung (RCE) ermöglicht. Diese Sicherheitslücke wurde intern gefunden und hat einen CVSS-Score von 8.3.

Read More

Fortinet FortiSIEM Remote Code Execution mit Root Rechten möglich

In einem umfassenden Sicherheitsbericht hat Horizon3.ai eine gravierende RCE Schwachstelle in Fortinet FortiSIEM entdeckt. Die Schwachstelle CVE-2023-34992, ermöglicht eine nicht authentifizierte Remote-Code-Ausführung mit Root-Rechten. Die Sicherheitslücke wurde mit einem CVSS3.0-Score von 10.0 bewertet, da sie potenziell den Zugriff auf sensible Daten und das Ausführen beliebigen Codes erlaubt.

Read More