Neue Untersuchungen haben ergeben, dass es für Bedrohungsakteure möglich ist, eine legitime Funktion in GitHub Codespaces zu missbrauchen, um Malware auf die Systeme der Opfer zu bringen.
GitHub Codespaces ist eine cloudbasierte, konfigurierbare Entwicklungsumgebung, die es Nutzern ermöglicht, Änderungen an einer bestimmten Codebasis über einen Webbrowser oder über eine Integration in Visual Studio Code zu debuggen, zu pflegen und zu übertragen.
Sie verfügt außerdem über eine Portweiterleitungsfunktion, die es ermöglicht, auf eine Webanwendung, die auf einem bestimmten Port innerhalb des Codespaces läuft, direkt vom Browser auf einem lokalen Rechner zuzugreifen, um sie zu testen und zu debuggen.
„Du kannst einen Port auch manuell weiterleiten, weitergeleitete Ports kennzeichnen, weitergeleitete Ports für Mitglieder deiner Organisation freigeben, weitergeleitete Ports öffentlich freigeben und weitergeleitete Ports zur Codespace-Konfiguration hinzufügen“, erklärt GitHub in seiner Dokumentation.
Dabei ist es wichtig zu wissen, dass jeder weitergeleitete Port, der öffentlich zugänglich gemacht wird, auch jedem, der die URL und die Portnummer kennt, erlaubt, die laufende Anwendung ohne Authentifizierung einzusehen.
GitHub Codespaces verwendet HTTP für die Portweiterleitung. Wenn der öffentlich sichtbare Port auf HTTPS aktualisiert oder entfernt und wieder hinzugefügt wird, wird die Sichtbarkeit des Ports automatisch auf privat geändert.
Das Cybersicherheitsunternehmen Trend Micro fand heraus, dass solche öffentlich freigegebenen weitergeleiteten Ports ausgenutzt werden können, um einen bösartigen Dateiserver unter Verwendung eines GitHub-Kontos zu erstellen.
„Dabei werden diese missbrauchten Umgebungen nicht als bösartig oder verdächtig eingestuft, selbst wenn sie bösartige Inhalte (wie Skripte, Malware und Ransomware) enthalten, so dass Unternehmen diese Vorfälle als harmlos oder falsch positiv einstufen könnten“, so die Forscher Nitesh Surana und Magno Logan.
In einem von Trend Micro demonstrierten Proof-of-Concept (PoC)-Exploit konnte ein Bedrohungsakteur einen Codespace erstellen und Malware von einer vom Angreifer kontrollierten Domain in die Umgebung herunterladen und die Sichtbarkeit des weitergeleiteten Ports auf öffentlich setzen.
Noch beunruhigender ist, dass der Angreifer diese Methode nutzen kann, um Schadsoftware zu verbreiten und die Umgebung des Opfers zu kompromittieren, da jede Codespace-Domäne, die mit dem offenen Port verbunden ist, einzigartig ist und von Sicherheitstools wahrscheinlich nicht als bösartige Domäne erkannt wird.
„Mithilfe solcher Skripte können Angreifer GitHub Codespaces leicht dazu missbrauchen, bösartige Inhalte schnell zu verbreiten, indem sie Ports in ihren Codespace-Umgebungen öffentlich zugänglich machen“, erklären die Forscher.
Auch wenn die Technik noch nicht in freier Wildbahn beobachtet wurde, zeigen die Ergebnisse, wie Angreifer Cloud-Plattformen zu ihrem Vorteil nutzen und eine Reihe von illegalen Aktivitäten durchführen können.
„Cloud-Dienste bieten sowohl legitimen Nutzern als auch Angreifern Vorteile“, so das Fazit der Forscher. „Die Funktionen, die legitimen Abonnenten angeboten werden, stehen auch Bedrohungsakteuren zur Verfügung, wenn sie die vom [Cloud-Dienstanbieter] bereitgestellten Ressourcen nutzen.