Критическая уязвимость в популярном инструменте автоматизации GitHub Actions поставила под угрозу тысячи проектов. Злоумышленники, скомпрометировав действие reviewdog/action-setup через внедрение вредоносного кода в зависимость tj-actions/changed-files, получили доступ к конфиденциальной информации множества репозиториев. Это яркий пример опасности каскадных атак на цепочку поставок.

«В первую очередь, от подобных атак страдают DevOps-инженеры», — комментирует Михаил Спицын, эксперт по кибербезопасности компании «Газинформсервис». — «Если скомпрометирован Github Actions, что собирается через CI/CD-платформу, он оказывается под угрозой. Всё указывает на критическую уязвимость в цепочке поставок и подчёркивает необходимость более строгого управления зависимостями и секретами».

Спицын объясняет: внедрившись в один-единственный проект (reviewdog/action-setup), начиная с действия tj-actions/changed-files, злоумышленник использует уязвимость в цепочке поставок и, как следствие, получает доступ к тысячам других репозиториев и их конфиденциальной информации.

«Подобные атаки будут повторяться, если не усилить процесс аудита кода, не ужесточить контроль над токенами и не внедрить практики безопасности. На защиту бизнеса в таком случае приходит SafeERP, анализатор кода в котором имеет интеграцию с GIT, выгрузку и возможность встроиться в CI / CD. Помимо проверки зависимостей, минимизации привилегий, проверок исходного кода как превентивных мер, необходимо организовать меры митигации. Использование системы мониторинга логов, такой как Ankey SIEM NG, позволит проверять инфраструктуру на предмет подозрительных действий, таких как выполнение неизвестных команд или передача данных», — предупреждает эксперт.

Справка о компании:

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.