谷歌Flank潜藏3年的Github Action供应链攻击

01

 简  介

Flank [1] 是谷歌 Firebase Test lab 开源在 Github 的一个项目,用于同时对多个安卓和IOS设备进行测试。2024年4月15号 AWS 安全工程师 Adnan Khan 公布了关于该项目代码仓库 Github Action CI/CD 存在漏洞的细节[2],漏洞在2020年于此 代码合并请求[3] 引入,3年多一直没人发现(这个仓库谷歌一直有赏金计划),谷歌把该漏洞归属为供应链漏洞,并给予该漏洞赏金 $7500 美刀(约 5w+ 人民币)。

利用该漏洞可以获得 Flank Github 代码仓库的写权限的 GITHUB_TOKEN 和谷歌云的账户密钥(看给的赏金大概能想到该密钥能进一步获取到的权限),该漏洞于2024年4月11号修复。

漏洞整体利用链图解(文章后面会附上复现环境和步骤~):

图片

另外,具有写权限的 GITHUB_TOKEN 可以用来发布 GitHub Release 以及 Release 附件,从而发布恶意的编译后二进制软件来达到供应链攻击的效果,原文作者由于是 Bug Bounty,渗透讲究点到为止,不过本文也会涉及这部分利用手段。

02

 背  景

Github Action

Github Action [4]用于在 Github 代码仓库中自动化、自定义和执行软件开发工作流程,也可用于持续集成持续部署流程(即 CI/CD),十分便于开发者使用,而不用专门去部署一套 Jenkins 之类的用于 CICD。具体表现在 Github 上,就是在代码仓库根目录建一个 .github 目录,里面放着一些定义自动化任务的 yaml/yml 文件,称之为 workflow (工作流),

图片

关于 .github 目录大家应该挺眼熟的,但一般我们都会忽略不太起眼的它,因为一般它不会存在什么特别的安全漏洞,但本文的重点就是里面的 workflow 。

 workflow 触发的方式很多,比如在 git push 代码到仓库时触发,亦或是在创建代码合并请求(Pull Request,下文简称 PR )触发等,触发后通过 Github Runner(执行器) 去执行相应的 workflow ,触发等方式多种多样,触发方式写法一般如下:

图片

上下 workflow 即是在代码 push 到 main 分支或者是 PR 入 main 时触发,运行结果输出 Hello World 

在本漏洞中,通过在 PR 评论区回复特定关键字触发存在漏洞的 workflow 。

Github Action Secrets

关于 Github Action secrets [6],比如我们给代码跑完单元测试后想要自动部署,那部署到相关环境需要的SSH或其他密钥肯定是不想明文放出来的,比如硬编码在仓库代码中,或者直接写在仓库配置文件中,这样大家就都能在 Github 仓库文件中看到了。

使用 secrets 的好处是,可以把这类密钥在跑 workflow 时,通过 Runner 环境变量的形式带进去。这样就解决刚刚说的问题了。此外,就算相关代码不小心把某个上下文变量日志给打了出来,secret 恰好包含在其中,Github Runner 显示的日志,也会把 secrets 脱敏显示,也就是说,就算我们主动 print($secret) ,他在 Runner 日志中显示的也是脱敏数据,如 ****** 。

以 GITHUB_ 开头的为 Github Runner 内置的一些环境变量或Secret [5],在 Action 中的 yaml 通过 ${{ secrets.GITHUB_TOKEN }} 即可引入,非常方便。

先献上存在漏洞的 workflow

https://github.com/Flank/flank/blob/v23.10.1/.github/workflows/run_integration_tests.yml

直接看漏洞存在和利用点可能没那么明显,下面来分析一下

03

 漏洞发现和利用

其实这类由 PR 引发漏洞,并且是有赏金计划的,一般在数日内就会被发现。因为多数赏金猎人,基本都是通过自动化的工具对 .github 目录里的文件进行批量检测,相关的工具有 gato [7] 和 gh-workflow-auditor [8],其中 gato 是原文作者是通过在上一家公司工作开源的自研工具。该漏洞是他对 gato 不断优化的 gato-x 版发现的,目前优化版 gato-x 还没开源出来,原作者还在尽可能的优化,然后在不久的将来放出来。

至于这个漏洞为啥一直没被发现的原因,他和普通的 Action 注入不太一样,例如下面这个流水线[9]

图片

如果攻击者在这个项目 Github 上新建一个 issue 的标题为 test" && ls / && echo " ,会直接造成流水线 runner 里的命令注入

图片

即,这种 Action 注入是执行命令时直接拼接了外部可控的变量。

而 Flank 触发流水线时并没有直接拼接可控变量,只是获取了 PR 的序号,

图片

然后通过 gh 命令切换到我们 PR 的代码上,这时才出现我们可控的部分

图片

即此时会切换到我们 PR 的代码,但此时它仍然没有拼接任何东西。特别是对于自动化工具而言,这里根本就不会检测出来,因为没有拼接可控的东西。由于 Github 上的 workflow 太多,一个个找和看,其实是不好找出来的。就像我们看存在问题的 workflow,一下子我们也没能太看出来存在什么问题,这就是为啥这个漏洞存在这么久才被发现。

原作者检测工具的设计目的就不太一样,他是扫描存在触发风险点的地方,然后在回过头来看是不是误报,尽管有接近70%的是误报。

在看整个 workflow 文件,在项目 PR 评论区回复 @flank-it 会触发 should_run_it  job,这个 job env 带有 GITHUB_TOKEN secret,并且该 token 有该项目的写权限(如果没有该项目的写权限,这个在评论区加个眼睛 👀 的 emoji 是加不上的)

图片

然后 should_run_it 运行结果 run_integration_tests 为 true 会触发 env 带有 GCLOUD_KEY secret  的 job

图片

到这里,还没讲到,Action 注入的,我们可控的恶意代码在哪呢?目前我们向此仓库发 PR,然后流水线中 gh checkout 我们的PR 切换到我们的代码。其实对于一般的流水线,都会有构建操作,即打包代码之类的,这里用的是 gradle 

图片

然后 gradle DSL(领域定义语言)是基于 Groovy的[10]!Gradle 5.0 后,还支持了 Kotlin 语言,也就是说我们可以执行通过任意代码执行,从而达到任意命令执行!从而达到就可以把这两个 secret 通过 curl 命令外带即可(非项目成员记得是看不到流水线运行结果的,所以不能像下面漏洞复现那样编码输出)。

恶意 PR

https://github.com/Flank/flank/pull/2481/files#diff-5625e3601fa0ad3a6a2824239e5a2fde71c149597d31394f9224a08c24be7b9d

然后作者为了规避 harden-runner [11]安全检测机制,只改了原仓库的 gradle,其他都是改 fork 到自己仓库的,因为在自己 fork 的仓库改,在原仓库也会留有 commit 信息(虽然最后还是告警了,原文还是有提到其他规避方法的)

由于执行 gradle 没有代入 secret 环境变量,这里需要用个 trick,即读取进程内存来获取 runner 里的 secret。因为就算是不同阶段的 job,一般都是在一个容器里执行。

图片

图片

03

 漏洞复现

环境搭建(可跳过)

搭建好的复现环境:https://github.com/tarihub/hack-flank-cicd

复现环境的项目配置(自己搭建就需要注意下,免得踩坑):

  • https://github.com/tarihub/hack-flank-cicd/settings/actions 需要在这里勾上 Workflow permissions 的 Read and write permissions 权限,不然小眼睛👀交互打不上(其实主要是模拟原项目给了 GITHUB_TOKEN 的写权限)

图片

  • secret 记得 base64编码一下,不然解码会失败

图片

复现步骤

先fork https://github.com/tarihub/hack-flank-cicd 项目过来,然后把 settings.gradle.kts 改为

图片

PS:这里的 pastebin 内容就是上面的 读取进程内存 处,用来读取 Runner 进程内存中存的 secret

commit 并 push 后发送 PR 到原仓库,在 PR 评论区留言 @flank-it 触发 Github Action

图片

运行过程,这里为了方查看所以直接输出

图片

正常情况下利用,由于非项目成员,看不到运行结果,所以需要用 curl 外带

图片

就得到 GCLOUD_KEY 和 GITHUB_TOKEN

图片

base64解码得 flag{GCLOUD_KEY} 

接下来,我们拿到具有写权限的 Github_TOKEN 就可以发布 release 附件了,一般项目都会有 release,所以我们先创建一个 release,创建好标签命名完标题保存即可

https://github.com/tarihub/hack-flank-cicd/releases/new

这里注意,获取到的 GITHUB_TOKEN 要在流水线运行结束前使用,否则 token 会失效,因此我们可以通过 sleep 等各种方式阻塞流水线的运行

根据 Github 文档[12],然后要获取 RELEASE_ID

图片

图片

然后通过接口增加/修改 release 附件即可

图片

图片

来到 Github Release 页面就看到我们的恶意附件就上传上去了

图片

至于 GCLOUD_KEY 的进一步利用,网上有很多文章介绍,这里就不进一步深入了

05

 总  结

该漏洞的修复,官方去除了在 PR 评论区留言触发流水线的方式,并且不会切换到 PR 部分对代码,只保留了定期触发流水线,这样攻击者就无法触发可控的攻击代码了。

https://github.com/Flank/flank/pull/2482

纵观漏洞从发现到利用整条利用链还是相当精彩的,原来 Github Action CI/CD 还能这样利用,平常审计代码都是直接跳过 Github Action 的… 又一次感受到公有云的安全难做,有时候这些密钥真不知道怎么就泄漏出去了。

因此,广大开发者使用 Github Action 时也请注意,当 workflow 带有 secret 时,注意避免各种形式让未授权人员在 Github runner 中执行外部可控的代码或逻辑,也应该部署 harden-runner [11]等相关工具,防止以及监测可能的异常 workflow,从而保障开源代码的安全。

06

 参考链接

[1] https://github.com/Flank/flank

[2] https://adnanthekhan.com/2024/04/15/an-obscure-actions-workflow-vulnerability-in-googles-flank

[3] https://github.com/Flank/flank/pull/1409

[4] https://docs.github.com/zh/actions

[5] https://docs.github.com/zh/actions/security-guides/using-secrets-in-github-actions

[6] https://docs.github.com/zh/enterprise-cloud@latest/actions/security-guides/automatic-token-authentication#about-the-github_token-secret

[7] https://github.com/praetorian-inc/gato

[8] https://github.com/TinderSec/gh-workflow-auditor

[9] https://cycode.com/blog/github-actions-vulnerabilities/

[10] https://docs.gradle.org/current/dsl/index.html

[11] https://github.com/step-security/harden-runner

[12] https://docs.github.com/zh/rest?apiVersion=2022-11-28

本文作者:

tari,首批 CSA CCPTP 认证专家、CSA 大中华区云渗透测试工作组成员

审校:

李鑫,CSA大中华区云渗透测试工作组组长

梁嘉荣,CSA大中华区研究协调员

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/605776.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

20万元奖励!成都市2023年度工业企业稳规成长奖项目申报对象奖励、材料程序

一、申报对象及奖励标准 2020年度(2020年3月—2021年2月)首次进入成都市规模以上工业名录库的企业,自上规当年起连续两年(2021—2022年)年度营业收入均保持在15%(含)以上增速的,一次…

qt 5.15.x 安装android过程记录

1.经过好几天的qt for android 安装,发现存在很多坑 参考其他文章可以编译出APK文件。但是我发现(我的机器上)无法调试apk程序,不能调试那怎么行呢,看了很多文章都是运行出结果了就结束了。没有展示怎么调试程序。 很多文章都是建议安装JDK8…

通信算法之207: 位同步影响调试经验分享

位同步准确,FFT解调后波形: 位同步NO准确,FFT解调后波形: 哈哈哈 哈哈哈 位同步准确为不准确 不准确为准确

Pytorch常用的函数(九)torch.gather()用法

Pytorch常用的函数(九)torch.gather()用法 torch.gather() 就是在指定维度上收集value。 torch.gather() 的必填也是最常用的参数有三个,下面引用官方解释: input (Tensor) – the source tensordim (int) – the axis along which to indexindex (Lo…

android图标底色问题,debug与release不一致

背景 在android 8(sdk 26)之前的版本,直接使用图片文件作为图标,开发时比较容易控制图标,但是不同的安卓定制版本就不容易统一图标风格了。 在android 8及之后的版本,图标对应的是ic_launcher.xml&#x…

android权限申请说明

theme: condensed-night-purple 在Android开发中,权限是指应用程序需要访问特定的设备功能或数据时所需的用户许可。从Android 6.0(API级别23)开始,Android引入了运行时权限模型,在应用程序运行期间向用户请求权限&am…

2024年全国五大数学建模竞赛Top榜及难度分析!推荐数维杯!!!

发现最近许多同学都陆续开始准备今年的数学建模竞赛了,但是随着数学建模领域越来越普及,影响力越来越广泛,参加的同学也越来越多,就导致有越来越多各式各样的数学建模竞赛此起彼伏出现,但其中有一些竞赛其实并不值得参…

Github 50k star!吴恩达联合OpenAi共同编写<面向开发者的LLM入门教程> PDF推荐!

今天给大家推荐一本由吴恩达和OpenAI团队共同编写的关于大型语言模型&#xff08;LLM&#xff09;的权威教程<面向开发者的LLM入门教程>&#xff01;&#xff0c;在Github上已经高达50k star了&#xff0c;这含金量不用多说&#xff0c;在这里给大家强烈推荐一波&#xf…

Wappalyzer指纹识别下载安装使用教程,图文教程(超详细)

「作者简介」&#xff1a;2022年北京冬奥会网络安全中国代表队&#xff0c;CSDN Top100&#xff0c;就职奇安信多年&#xff0c;以实战工作为基础对安全知识体系进行总结与归纳&#xff0c;著作适用于快速入门的 《网络安全自学教程》&#xff0c;内容涵盖系统安全、信息收集等…

Spring Security初探

url说明方法/login/oauth/authorize无登录态时跳转到/authentication/require&#xff0c;有登录态时跳转到/loginorg.springframework.security.oauth2.provider.endpoint.AuthorizationEndpoint#authorize/authentication/require自己写的用于重定向到登录页面的urlcn.merryy…

【笔记】常用USB转串口芯片CH340驱动自动静默安装方法

微信关注公众号 “DLGG创客DIY” 设为“星标”&#xff0c;重磅干货&#xff0c;第一时间送达。 前言 CH340是沁恒(南京沁恒微电子股份有限公司)一款非常有名USB转串口芯片&#xff0c;很多廉价的开发板上都使用这款USB转串口芯片&#xff0c;我觉得主要原因是因为它成本最低&a…

SSM【Spring SpringMVC Mybatis】——Mybatis

目录 1、初识Mybatis 1.1Mybatis简介 1.2 官网地址 2、搭建Mybatis框架 2.1 准备 2.2 搭建Mybatis框架步骤 1. 导入jar包 2. 编写核心配置文件【mybatis-config.xml】 3. 书写相关接口及映射文件 4. 测试【SqlSession】 2.3 添加Log4j日志框架 导入jar包 编写配置文…

Nginx配置/.well-known/pki-validation/

当你需要在Nginx上配置.well-known/pki-validation/时&#xff0c;这通常是为了支持SSL证书的自动续订或其他验证目的。以下是配置步骤&#xff1a; 创建目录结构&#xff1a; 在你的网站根目录下创建一个名为.well-known的目录&#xff08;SSL证书申请之如何创建/.well-known/…

重启酱酒老品牌茅泉酒,肆拾玖坊打造“第二增长曲线”

执笔 | 尼 奥 编辑 | 扬 灵 在肆拾玖坊9周年纪念日前夕&#xff0c;来自业内外的精英朋友相聚茅台镇&#xff0c;见证肆拾玖坊“第二增长曲线”——茅泉酒的焕新出发。正如肆拾玖坊创始人、CEO张传宗所言&#xff1a;“这是重要的里程碑&#xff0c;也是小小的开始。” 从…

【excel】数据非数值导致排序失效

场景 存在待排序列的数值列&#xff0c;但排序失效&#xff0c;提示类型有问题&#xff1a; 解决 选中该列&#xff0c;数据→分列 而后发现提示消失&#xff0c;识别为数字&#xff0c;可正常排序。

cypress的安装使用

cypress npm install -g cnpm --registryhttps://registry.npm.taobao.org

力扣41. 缺失的第一个正数

Problem: 41. 缺失的第一个正数 文章目录 题目描述思路复杂度Code 题目描述 思路 1.将nums看作为一个哈希表&#xff0c;每次我们将数字n移动到nums[n - 1]的位置(例如数字1应该存在nums[0]处…),则在实际的代码操作中应该判断nums[i]与nums[nums[i] - 1]是否相等&#xff0c;若…

直播报名 | 珈和科技携手潍柴雷沃共探“现代农场”未来式

数据赋农季系列直播第四期&#xff0c;我们将以“未来农业发展趋势之农场智慧化、管理数据化”为主题展开&#xff0c;此次系列直播由珈和科技及湖北珞珈实验室共同主办&#xff0c;第四期直播很荣幸邀请到潍柴雷沃参与其中&#xff0c;双方将就智慧农服平台和数据交易SaaS平台…

交友软件源码-源码+搭建+售后,上线即可运营聊天交友源码 专业语聊交友app开发+源码搭建-快速上线

交友小程序源码是一种可以帮助开发者快速搭建交友类小程序的代码模板。它通常包括用户注册、登录、个人信息编辑、匹配推荐、好友聊天等常见功能&#xff0c;以及与后台数据交互的接口。使用这种源码可以极大地缩短开发时间&#xff0c;同时也可以根据自己的需求进行二次开发和…

Docker与Harbor:构建企业级私有Docker镜像仓库

目录 引言 一、本地私有仓库 &#xff08;一&#xff09;基本概述 &#xff08;二&#xff09;搭建本地私有仓库 1.下载registry镜像 2.启动容器 3.上传本地镜像 4.客户端下载镜像 二、Harbor简介 &#xff08;一&#xff09;什么是 Harbor &#xff08;二&#xff…