Tenable a dévoilé il y a quelques jours une nouvelle vulnérabilité critique dans un workflow GitHub. Cette faille permet d'exécuter un code distant et d'accéder aux secrets du dépôt. "La découverte concerne un workflow GitHub vulnérable, [des scripts d’automatisation GitHub exécutés via un ou plusieurs jobs GitHub Actions] au sein du dépôt Windows-driver-samples. Ce dépôt, qui a été forké 5 000 fois et compte 7 700 étoiles, représente un point d’interaction significatif pour les développeurs." explique Tenable. 

a vulnérabilité provient d’une simple vulnérabilité d’injection de chaînes en Python. Les attaquants pouvaient l’exploiter via les étapes suivantes :

• Création d’une issue GitHub : un attaquant ouvre une issue GitHub, une fonctionnalité accessible à tout utilisateur enregistré.
• Injection malveillante : l’attaquant inclut du code Python malveillant dans la description de l’issue.
• Exécution automatique : le workflow GitHub se déclenche automatiquement lors de la création de l’issue, en exécutant le code de l’attaquant dans le contexte du runner GitHub.
• Exfiltration de secrets : l’exploit permet à l’attaquant d’exfiltrer le GITHUB_TOKEN et d’autres secrets éventuellement configurés dans le dépôt.

Pour prévenir ce type de risque, les recommandations sont les suivantes :

• Contrôles de sécurité stricts : mettre en œuvre des mesures de sécurité rigoureuses pour protéger le code source et l’intégrité des builds au sein des workflows automatisés.
• Revue des droits d’accès : mettre à jour et restreindre explicitement les permissions du GITHUB_TOKEN afin d’éviter un accès étendu par défaut.
• Surveillance des pipelines CI/CD : auditer régulièrement les workflows automatisés afin de détecter d’éventuelles vulnérabilités d’injection, en particulier celles déclenchées par des entrées d’utilisateurs externes.