Truffle Security a averti que n’importe qui peut accéder aux données du référentiel et des fork sur GitHub même après leur suppression, une fonctionnalité que GitHub a confirmé être normale pour la plate-forme.
Dans un article de blog publié mercredi, Joe Leon, chercheur en sécurité chez Truffle, a expliqué comment les données supprimées et privées du référentiel stockées sur GitHub sont accessibles à tous. Plus alarmant encore, Leon a déclaré que le vecteur d’attaque potentiel avait été conçu de cette façon.
Leon a démontré comment il était capable de créer un référentiel, d’y valider des données, de supprimer le fork, puis d’accéder aux données de validation supprimées via le référentiel d’origine en moins d’une minute. Cela pourrait constituer une menace, surtout si les utilisateurs de GitHub ignorent que ces données sont toujours accessibles.
“Vous pouvez accéder aux données des forks supprimés, des référentiels supprimés et même des référentiels privés sur GitHub. Et elles sont disponibles pour toujours. Ceci est connu de GitHub et intentionnellement conçu de cette façon”, a écrit Leon sur le blog. « Il s’agit d’un vecteur d’attaque tellement énorme pour toutes les organisations qui utilisent GitHub que nous introduisons un nouveau terme : référence d’objet de fourche croisée (CFOR). Une vulnérabilité CFOR se produit lorsqu’un fork de référentiel peut accéder aux données sensibles d’un autre fork (y compris les données de forks privés et supprimés).
Leon a ajouté que si les utilisateurs créent un référentiel, les commits contenant des données sensibles sont toujours accessibles. Par conséquent, tout référentiel public comportant au moins un fork « peut être accessible pour toujours », a-t-il déclaré. Leon a également testé des référentiels privés et a découvert un autre modèle problématique. Il a montré comment n’importe qui pouvait accéder aux données de validation à partir d’une version interne privée, car les référentiels ont souvent également une version publique.
“Malheureusement, ce flux de travail est l’une des approches les plus courantes adoptées par les utilisateurs et les organisations pour développer des logiciels open source. En conséquence, il est possible que des données confidentielles et des secrets soient exposés par inadvertance sur les référentiels GitHub publics d’une organisation”, indique le blog.
Leon a énuméré plusieurs implications de cette fonctionnalité intrinsèquement conçue. Il a averti que tant qu’un fork existerait, tout commit sur ce réseau de référentiels existerait en permanence sur GitHub et a ajouté que la plupart des utilisateurs de GitHub ne comprennent pas comment fonctionnent les référentiels, ce qui pose d’importants problèmes de sécurité.
“Cela renforce encore notre point de vue selon lequel la seule façon de remédier en toute sécurité à une clé divulguée sur un référentiel GitHub public est la rotation des clés”, indique le blog.
Outre les tests effectués par Leon, il a souligné qu’il existe d’autres moyens de supprimer et que les données du référentiel privé soient accessibles à tous.
TechTarget Editorial a contacté GitHub au sujet de la recherche, et un porte-parole a fourni la déclaration suivante : “GitHub s’engage à enquêter sur les problèmes de sécurité signalés. Nous sommes au courant de ce rapport et avons validé qu’il s’agit d’un comportement attendu et documenté inhérent au fonctionnement des réseaux fork. Vous Vous pouvez en savoir plus sur la façon dont la suppression ou la modification de la visibilité affecte les forks du référentiel dans notre documentation.
Les recherches de Truffle sont le dernier rapport à révéler des failles de sécurité potentielles dans la plate-forme de développement populaire. En avril, Justin Cappos, professeur à l’Université de New York, a découvert une vulnérabilité dans GitHub qui exposait des rapports de sécurité sensibles.
Même s’il n’existe aucun rapport faisant état de dépôts supprimés compromis, les acteurs malveillants ont souvent ciblé GitHub comme vecteur d’attaque. Par exemple, en avril, l’éditeur de logiciels Checkmarx a publié une étude montrant comment les acteurs malveillants exploitaient GitHub pour attaquer la chaîne d’approvisionnement. La campagne a incité les développeurs à télécharger du code malveillant en manipulant la fonction de recherche.
Arielle Waldman est rédactrice pour TechTarget Editorial couvrant la sécurité des entreprises.