許多企業(yè)使用GitHub Action Secrets來存儲和保護CI/CD工作流程中使用的敏感信息，如憑證、API密鑰和Token。這些私有代碼庫通常被認(rèn)為是安全且鎖定的。

但根據(jù)Wiz客戶事件響應(yīng)團隊的最新研究，攻擊者正在利用這種盲目信任。他們發(fā)現(xiàn)威脅行為者正在使用暴露的GitHub個人訪問Token（PATs）來訪問GitHub Action Secrets，并潛入云環(huán)境，然后大肆破壞。

Beauceron Security的David Shipley表示："根本問題是這些密鑰存在于代碼庫中。云服務(wù)提供商的訪問密鑰是黃金，它們可能有極長的生命周期，這正是攻擊者嗅探的目標(biāo)。"

Wiz估計，73%使用私有GitHub Action Secrets代碼庫的組織在其中存儲云服務(wù)提供商（CSP）憑證。當(dāng)允許開發(fā)人員和自動化機器人與GitHub代碼庫和工作流程交互的PATs被利用時，攻擊者可以輕松橫向移動到CSP控制平面。

Info-Tech Research Group技術(shù)顧問Erik Avakian解釋說，PATs可能成為一個"強大的跳板"，允許攻擊者冒充開發(fā)人員并執(zhí)行各種活動。他說，這就像擁有進入公司云環(huán)境的后臺通行證。

"一旦他們持有有效的PAT，就可以在GitHub中做各種事情，直接通向公司的AWS、Azure、GCP或其他類型的云服務(wù)，因為GitHub將該PAT視為真正的開發(fā)人員，"他說。

有了這種訪問權(quán)限，威脅行為者可以"探索"各種代碼庫和工作流程，尋找任何暗示云訪問、配置項、腳本和隱藏密鑰的內(nèi)容。如果他們獲得真正的云憑證，就"擁有了公司AWS存儲桶、Azure訂閱和其他工作流程的密鑰"。

然后他們可以啟動云資源、訪問數(shù)據(jù)庫、竊取源代碼、安裝加密貨幣挖礦機等惡意文件、潛入惡意工作流程，甚至轉(zhuǎn)向其他云服務(wù)，同時建立持久化機制，以便隨時返回。

Avakian說："到那時，基本上你在云中能做的任何事情，他們也能做。"

Wiz發(fā)現(xiàn)，擁有通過PAT的基本讀取權(quán)限的威脅行為者可以使用GitHub的API代碼搜索來發(fā)現(xiàn)直接嵌入在工作流程yaml代碼中的密鑰名稱，通過"${{ secrets.SECRET_NAME }}"訪問。

危險在于這種密鑰發(fā)現(xiàn)方法難以監(jiān)控，因為搜索API調(diào)用不會被記錄。此外，GitHub托管的Actions從使用合法共享IP地址的GitHub管理資源運行，這些地址不會被標(biāo)記為惡意。攻擊者可以濫用密鑰，冒充工作流程來源以利用信任，如果代碼配置錯誤或在工作流程中的其他地方重用，可能會訪問其他資源。他們還可以持續(xù)訪問系統(tǒng)。

此外，如果被利用的PAT具有寫入權(quán)限，攻擊者可以執(zhí)行惡意代碼并刪除工作流程日志和運行記錄、拉取請求以及"創(chuàng)建的分支"（開發(fā)實驗的代碼庫隔離副本）。由于工作流程日志很少流入安全事件和事件管理（SIEM）平臺，攻擊者可以輕易逃避檢測。

同樣值得注意的是，開發(fā)人員有權(quán)訪問GitHub組織的PAT使私有代碼庫變得脆弱；Wiz研究發(fā)現(xiàn)，45%的組織將明文云密鑰私密存儲，而只有8%存儲在公共代碼庫中。

Shipley指出："在一些開發(fā)人員的想法中，私有代碼庫等于安全，但顯然并不安全。"

為了防范這些威脅，Avakian指出，企業(yè)應(yīng)該像對待任何其他特權(quán)憑證一樣對待PATs。云基礎(chǔ)設(shè)施和云開發(fā)環(huán)境應(yīng)該被適當(dāng)鎖定，本質(zhì)上通過微分段和特權(quán)用戶管理來"零信任化"它們，以包含它們并防止橫向轉(zhuǎn)移。

Avakian說："像任何其他憑證一樣，當(dāng)Token具有合理的過期日期時，它們最為安全。使Token過期、輪換它們，并使用短期憑證將有助于阻止這些類型的風(fēng)險。"

最小權(quán)限原則，只給賬戶所需的權(quán)限，而不是"管理一切"的方法，Avakian建議。更重要的是，將云密鑰移出GitHub工作流程，并確保有適當(dāng)?shù)谋O(jiān)控和日志審查流程來標(biāo)記意外或異常的工作流程或云創(chuàng)建事件。

Beauceron的Shipley同意，企業(yè)需要多管齊下的策略、良好的監(jiān)控、即時響應(yīng)計劃，以及通過"有意義的后果"來強化不合規(guī)行為的開發(fā)人員培訓(xùn)流程。必須激勵開發(fā)人員遵循安全編碼最佳實踐；在開發(fā)團隊中建立強大的安全文化非常重要。他說："你不能為問題的這一部分購買一個閃爍的盒子。"

Shipley說："犯罪分子已經(jīng)提升了他們的游戲水平。組織別無選擇。他們必須在這些領(lǐng)域投資，否則就會付出代價。"

此外，他補充說，停止盲目信任GitHub代碼庫。"代碼庫的本質(zhì)是它們永遠存在。如果你不知道代碼庫中是否有云密鑰，你需要去找到它們。如果它們在那里，你需要昨天就更改它們，并且需要停止添加新的。"

如果有好的一面，他指出，企業(yè)是"自己成功的受害者"，因為他們通過多因素身份驗證（MFA）提高了標(biāo)準(zhǔn)。一般安全意識的提高使犯罪分子更難獲得訪問權(quán)限和身份并入侵系統(tǒng)。

Shipley說："在某種程度上，這是一個好兆頭。以一種滑稽的方式，這意味著犯罪分子現(xiàn)在正在進入需要更多努力的更深層次。"

Q&A

Q1：什么是GitHub個人訪問Token（PATs），為什么它們成為安全威脅？

A：GitHub個人訪問Token是允許開發(fā)人員和自動化機器人與GitHub代碼庫和工作流程交互的憑證。當(dāng)PATs被暴露或利用時，攻擊者可以冒充開發(fā)人員，訪問GitHub Action Secrets，進而潛入云環(huán)境，獲得AWS、Azure、GCP等云服務(wù)的控制權(quán)。

Q2：攻擊者通過GitHub PATs可以進行哪些惡意活動？

A：攻擊者可以啟動云資源、訪問數(shù)據(jù)庫、竊取源代碼、安裝加密貨幣挖礦機等惡意文件、植入惡意工作流程，甚至轉(zhuǎn)向其他云服務(wù)。他們還能建立持久化機制以便隨時返回，基本上可以執(zhí)行用戶在云環(huán)境中能做的任何操作。

Q3：企業(yè)應(yīng)該如何防范GitHub PATs相關(guān)的安全威脅？

A：企業(yè)應(yīng)將PATs視為特權(quán)憑證來管理，設(shè)置合理的過期時間并定期輪換。實施最小權(quán)限原則，將云密鑰移出GitHub工作流程，建立適當(dāng)?shù)谋O(jiān)控和日志審查流程。同時加強開發(fā)人員安全培訓(xùn)，建立強大的安全文化，停止盲目信任GitHub代碼庫。