de U.S.. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging (CISA) heeft toegevoegd een onlangs ontdekte kwetsbaarheid die verband houdt met de inbreuk op de toeleveringsketen van GitHub Actions, tj-acties/gewijzigde-bestanden, aan de bekende misbruikte kwetsbaarheden (KEV) catalogus.
De fout, gevolgd als CVE-2025-30066, heeft een CVSS-ernstscore van 8.6 vanwege het potentieel voor uitvoering van externe code en blootstelling van gegevens.
Een cascade van compromissen in de toeleveringsketen
Deze kwetsbaarheid is het gevolg van een inbreuk op de GitHub Actions, waardoor aanvallers injecteer schadelijke code en krijg toegang tot gevoelige gegevens via actielogboeken. GitHub Actions is een CI/CD (Continue integratie en continue implementatie) automatiseringstool geleverd door GitHub, waarmee ontwikkelaars workflows voor het bouwen kunnen automatiseren, testing, en hun code rechtstreeks in hun GitHub-repositories implementeren.
Het probleem is met name zorgwekkend omdat het de ongeoorloofde openbaarmaking van vertrouwelijke inloggegevens mogelijk maakt, inclusief AWS-toegangssleutels, Persoonlijke toegangstokens van GitHub (PAT's), npm-tokens, en privé RSA-sleutels.
Cloudbeveiligingsbedrijf Tovenaar heeft het incident geïdentificeerd als een cascade-aanval op de toeleveringsketen. Onbekende dreigingsactoren hebben aanvankelijk de reviewdog/action-setup@v1 GitHub-acties, die vervolgens werd gebruikt om te infiltreren tj-actions/changed-files. De gecompromitteerde repository heeft een actie uitgevoerd die gebruikmaakte van reviewdog/action-setup@v1, waardoor aanvallers de kans krijgen hun schadelijke payload uit te voeren.
Volgens Wiz-onderzoeker Rami McCarthy, de tijdlijn van de aanval suggereert dat de reviewdog De actie werd rond dezelfde tijd gecompromitteerd als de tj-actions PAT-inbreuk. Echter, de exacte methode van compromis blijft onduidelijk. Er wordt aangenomen dat de aanval heeft plaatsgevonden op Maart 11, 2025, met de schending van tj-actions/changed-files vóórkomend Maart 14.
De impact van CVE-2025-30066 op GitHub CI/CD-workflows
De gecompromitteerde reviewdog actie stelde aanvallers in staat een Base64-gecodeerde payload in CI/CD-workflows te injecteren. Deze lading, ingebed in een bestand met de naam install.sh, is ontworpen om geheimen uit opslagplaatsen te halen met behulp van de betrokken workflows. Opmerkelijk, alleen de v1 label van reviewdog/action-setup werd beïnvloed.
De beheerders van tj-actions hebben inmiddels bevestigd dat de inbreuk het gevolg was van een gecompromitteerde GitHub Personal Access Token (PAT), die ongeoorloofde wijzigingen aan de repository toeliet. De aanvallers konden de v1 label, het vervangen door hun kwaadaardige code.
Mitigerende maatregelen en beveiligingsaanbevelingen
Als reactie op het incident, Getroffen gebruikers en federale agentschappen is geadviseerd om te updaten naar tj-actions/changed-files versie 46.0.1 voor April 4, 2025. Echter, gezien de aard van het compromis, het risico op herhaling blijft hoog.
Om de veiligheidsmaatregelen te versterken, Deskundigen bevelen de volgende acties aan:
- Vervang de getroffen GitHub-acties door veilige alternatieven.
- Controleer eerdere workflows op tekenen van kwaadaardige activiteiten.
- Draai alle mogelijk gelekte geheimen om.
- Pin GitHub Actions vast aan specifieke commit-hashes in plaats van versietags om ongeautoriseerde wijzigingen te voorkomen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: