Les pipelines CI/CD, longtemps considérés comme de simples outils d’automatisation, s’imposent désormais comme un point névralgique de la sécurité des organisations. Une découverte récente de l’équipe de recherche de Tenable en apporte une nouvelle illustration.
Les chercheurs ont identifié une vulnérabilité critique, notée 9,3 sur l’échelle CVSSv4, dans un dépôt GitHub de Microsoft. Cette faille permettait l’exécution de code à distance (RCE) ainsi que l’accès non autorisé à des secrets, exposant directement l’infrastructure de développement.
La vulnérabilité concerne le dépôt Windows-driver-samples, largement utilisé, avec environ 5 000 forks et 7 700 étoiles. Un niveau d’adoption qui en fait un point d’interaction important pour les développeurs. En cause, un workflow GitHub reposant sur GitHub Actions. Tenable montre qu’il pouvait être exploité pour compromettre l’infrastructure CI/CD du dépôt et, par extension, la chaîne d’approvisionnement logicielle.
Une exploitation simple aux conséquences critiques
Le scénario d’attaque repose sur une injection de chaîne Python, décrite comme simple à mettre en œuvre. Un attaquant peut ouvrir une issue sur GitHub, une fonctionnalité accessible à tout utilisateur enregistré, et y intégrer du code malveillant dans la description. Le workflow se déclenche alors automatiquement et exécute ce code dans le contexte du runner GitHub.
Cette exécution permet ensuite l’exfiltration du GITHUB_TOKEN, ainsi que d’autres secrets potentiellement présents dans le dépôt. Le GITHUB_TOKEN constitue un élément clé pour interagir avec un dépôt GitHub. Dans ce cas, les chercheurs estiment qu’il disposait probablement de permissions de lecture et d’écriture par défaut, le dépôt ayant été créé avant 2023. Une telle configuration pourrait permettre à des acteurs non autorisés d’effectuer des actions au nom de Microsoft, comme modifier du contenu ou créer des issues.
Le CI/CD, un angle mort de la sécurité
Au-delà de la vulnérabilité elle-même, cette découverte met en lumière un enjeu plus large. Les pipelines CI/CD s’intègrent désormais pleinement dans la surface d’attaque des organisations.
« L’infrastructure CI/CD fait partie de la surface d’attaque et de la chaîne d’approvisionnement logicielle d’une organisation », a déclaré Rémy Marot, Staff Research Engineer chez Tenable. « Sans garanties solides, une vulnérabilité dans un pipeline peut être exploitée pour déclencher des attaques de la chaîne d’approvisionnement à grande échelle et avoir des impacts critiques sur les systèmes et les utilisateurs en aval ».
Dans ce contexte, Tenable recommande de considérer les pipelines CI/CD comme des infrastructures critiques. Cela implique notamment de renforcer les contrôles de sécurité autour des workflows, de revoir les permissions associées au GITHUB_TOKEN afin de limiter les accès par défaut, et de mettre en place une surveillance régulière des pipelines. Une attention particulière doit également être portée aux vulnérabilités liées aux entrées utilisateurs externes, qui peuvent servir de point d’entrée à ce type d’attaque.
