Actions GitHub Trivy sous attaque : 75 balises détournées dans une campagne sophistiquée de vol de secrets CI/CD

Blog Actualités générales Tous les auteurs Tous les tags
Désolé, le contenu de cette page n'est pas disponible dans la langue que vous avez sélectionnée
Alex Vance

Actions GitHub Trivy sous attaque : 75 balises détournées dans une campagne sophistiquée de vol de secrets CI/CD

La chaîne d'approvisionnement numérique s'est une fois de plus avérée être un point de vulnérabilité critique, le scanner de vulnérabilités open-source largement utilisé d'Aqua Security, Trivy, ayant subi une deuxième compromission en un seul mois. Ce dernier incident, ciblant les actions GitHub clés—aquasecurity/trivy-action et aquasecurity/setup-trivy—a impliqué le détournement de 75 balises de dépôt, menant à l'exfiltration potentielle de secrets CI/CD sensibles de d'innombrables projets en aval. Cette attaque sophistiquée souligne le paysage de menaces persistant et évolutif auquel sont confrontées les pipelines de développement logiciel modernes.

L'Anatomie d'une Brèche de la Chaîne d'Approvisionnement : GitHub Actions comme Vecteur

Les actions GitHub sont intégrales aux workflows CI/CD contemporains, automatisant tout, de la compilation et des tests de code au déploiement. Leur intégration profonde et leur accès privilégié au sein des dépôts en font des cibles de choix pour les acteurs de la menace cherchant à propager du code malveillant à travers l'écosystème logiciel. Dans ce scénario, la compromission des actions GitHub officielles de Trivy a effectivement transformé un outil de sécurité de confiance en un conduit d'attaque.

Les attaquants ont exploité une technique connue sous le nom de détournement de balises (tag hijacking). En manipulant l'intégrité de balises Git spécifiques (qui sont des pointeurs immuables vers des commits spécifiques), ils pouvaient rediriger les utilisateurs vers des versions malveillantes des actions. Lorsqu'un pipeline CI/CD invoque une action par une balise spécifique (par exemple, v0.22.0), il s'attend à une base de code fiable et vérifiée. Les acteurs de la menace ont remplacé ces pointeurs légitimes par des références à du code compromis, conçu pour exécuter des charges utiles néfastes.

Actifs Compromis et Modus Operandi

Le cœur de cet incident a tourné autour de deux actions GitHub critiques maintenues par Aqua Security :

  • aquasecurity/trivy-action : Utilisée pour scanner les images de conteneurs Docker, les systèmes de fichiers et les dépôts Git à la recherche de vulnérabilités, de mauvaises configurations et de secrets dans les workflows GitHub Actions.
  • aquasecurity/setup-trivy : Facilite l'installation et la configuration de Trivy dans un environnement GitHub Actions.

En compromettant les dépôts contrôlant ces actions, les attaquants ont pu modifier 75 balises de publication distinctes. La charge utile malveillante, intégrée dans le code de l'action détournée, a été spécifiquement conçue pour identifier et exfiltrer les secrets CI/CD sensibles. Ces secrets incluent généralement :

  • Jetons d'accès personnels GitHub (PATs)
  • Clés API de fournisseurs de cloud (AWS, Azure, GCP)
  • Identifiants de base de données
  • Jetons d'accès aux dépôts privés
  • Toute autre variable d'environnement marquée comme secret dans le pipeline CI/CD.

L'objectif était clair : obtenir un accès non autorisé à l'infrastructure d'une organisation en dérobant les clés de leur royaume numérique, en exploitant la confiance inhérente aux composants open-source largement utilisés.

Implications et Analyse Technique de l'Exfiltration de Secrets

Les implications d'une telle brèche sont de grande portée. Une exfiltration réussie de secrets CI/CD peut entraîner :

  • Mouvement Latéral : Les acteurs de la menace peuvent utiliser les identifiants volés pour accéder à d'autres systèmes, services et environnements cloud.
  • Fuite de Données : Accès aux bases de données de production ou au stockage, entraînant la compromission de données sensibles.
  • Autres Attaques de la Chaîne d'Approvisionnement : Injection de code malveillant dans des applications ou des artefacts de production.
  • Dommage Réputationnel : Érosion de la confiance dans les projets open-source et leurs mainteneurs.

Techniquement, le logiciel malveillant a probablement fonctionné en inspectant les variables d'exécution de l'environnement CI/CD, ciblant spécifiquement celles préfixées ou marquées comme secrets. Il utiliserait ensuite des techniques d'exfiltration courantes, telles que :

  • Tunneling DNS : Encapsulation de données dans des requêtes DNS pour contourner les pare-feu.
  • Requêtes HTTP/HTTPS POST : Envoi de données à un serveur de commande et de contrôle (C2) contrôlé par l'attaquant.
  • Appels réseau obscurcis : Déguisement de la communication C2 en trafic légitime.
  • Git push/commit : Si un accès en écriture au dépôt était obtenu, les secrets pourraient même être commis dans une branche ou un dépôt contrôlé par l'attaquant.

Le défi pour les défenseurs réside dans la nature éphémère des environnements CI/CD et la difficulté à détecter de subtiles déviations du comportement attendu.

Investigation Numérique, Réponse aux Incidents et Attribution des Acteurs de la Menace

Répondre à une attaque sophistiquée de la chaîne d'approvisionnement nécessite une approche méticuleuse en matière d'investigation numérique et de réponse aux incidents (DFIR). Les priorités immédiates incluent :

  • Rotation des Secrets : Invalider et renouveler immédiatement tous les secrets CI/CD, clés API et jetons qui auraient pu être exposés.
  • Analyse des Journaux : Examiner minutieusement les journaux d'exécution des actions GitHub, les journaux d'audit et les journaux d'accès aux dépôts pour détecter des activités anormales, des commits non autorisés ou des connexions réseau inhabituelles initiées par des pipelines compromis.
  • Vérification de l'Intégrité du Code : Auditer en profondeur toutes les bases de code des actions affectées, en les comparant à des versions connues et fiables à l'aide de hachages cryptographiques.
  • Reconnaissance Réseau : Identifier toute connexion sortante effectuée par des agents de construction compromis pour localiser l'infrastructure C2.

Pour une attribution avancée des acteurs de la menace et pour recueillir une télémétrie cruciale lors d'une enquête, des outils spécialisés sont inestimables. Par exemple, dans les scénarios où un lien malveillant aurait pu être cliqué par un initié ou intégré dans une ressource compromise, des plateformes comme grabify.org peuvent être exploitées. Bien que non directement applicable à l'exécution automatisée du pipeline CI/CD, comprendre comment de tels outils fonctionnent met en lumière des méthodes de collecte de télémétrie avancée. En générant un lien de suivi et en l'intégrant stratégiquement (par exemple, dans un honeypot ou un canal de communication contrôlé avec un initié suspecté), les enquêteurs peuvent recueillir des informations détaillées sur l'entité interagissante. Cela inclut son adresse IP, sa chaîne User-Agent, les détails de son fournisseur d'accès Internet (FAI) et les empreintes numériques de son appareil. Une telle extraction de métadonnées est vitale pour retracer l'origine d'une attaque, profiler les acteurs de la menace et cartographier leur infrastructure, offrant des informations critiques au-delà de l'analyse de journaux standard.

De plus, l'établissement d'une chaîne de contrôle claire pour tous les artefacts forensiques et la mise en œuvre de flux de renseignement sur les menaces robustes sont primordiaux pour comprendre la campagne plus large et prévenir de futures incursions.

Stratégies d'Atténuation et de Prévention pour la Sécurité CI/CD

Pour fortifier les pipelines CI/CD contre de telles attaques sophistiquées de la chaîne d'approvisionnement, les organisations doivent adopter une stratégie de défense multicouche :

  • Épingler les Actions à des SHAs Complets : Au lieu de référencer les actions GitHub par des balises mutables (par exemple, v1, main), épinglez-les à un SHA de commit spécifique (par exemple, aquasecurity/trivy-action@a1b2c3d4e5f6...). Cela garantit l'immutabilité et empêche le détournement de balises de rediriger vers du code malveillant.
  • Principe du Moindre Privilège : Accordez aux pipelines CI/CD et à leurs jetons associés uniquement les permissions minimales nécessaires à leurs tâches spécifiques.
  • Secrets Éphémères et Gestion des Secrets : Utilisez des solutions dédiées de gestion des secrets (par exemple, HashiCorp Vault, AWS Secrets Manager) et employez des identifiants éphémères et de courte durée pour les pipelines.
  • Audits Réguliers et Revues de Code : Auditez périodiquement toutes les actions et dépendances tierces pour détecter les vulnérabilités de sécurité et les changements inattendus. Mettez en œuvre des processus stricts de revue de code pour toute modification des définitions CI/CD.
  • Tests de Sécurité Statiques (SAST) et Dynamiques (DAST) des Applications : Intégrez des outils d'analyse de sécurité (comme Trivy lui-même !) dans le pipeline pour identifier les vulnérabilités dans le code et les applications déployées.
  • Surveillance d'Exécution et Analyse Comportementale : Implémentez des outils qui surveillent le comportement d'exécution des agents CI/CD pour détecter des activités anormales (par exemple, connexions réseau inhabituelles, accès non autorisé aux fichiers).
  • Authentification Multi-Facteurs (MFA) et Contrôles d'Accès Robustes : Appliquez la MFA pour tous les mainteneurs de dépôts et mettez en œuvre des contrôles d'accès robustes, y compris des règles de protection des branches.

Conclusion : Le Défi Persistant de la Sécurité de la Chaîne d'Approvisionnement Logicielle

La compromission répétée des actions GitHub de Trivy sert de rappel brutal du défi persistant et croissant que représente la sécurisation de la chaîne d'approvisionnement logicielle. Les acteurs de la menace ciblent de plus en plus les composants et l'infrastructure de confiance pour obtenir un impact étendu. Alors que les organisations continuent d'adopter les workflows CI/CD automatisés, l'impératif de mettre en œuvre des pratiques de sécurité rigoureuses, de l'épinglage immuable des dépendances à la surveillance complète et aux capacités de réponse rapide aux incidents, devient non négociable. Une défense proactive, une vigilance continue et une compréhension robuste des vecteurs d'attaque potentiels sont essentielles pour sauvegarder l'intégrité et la confidentialité du développement logiciel moderne.

trivygithub-actionssupply-chain-attackci-cd-securitysecret-theftcyber-security