AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Más de 250.000 posibles vulnerabilidades detectadas en pipelines de GitHub tras un análisis masivo

admin

#### Introducción

El equipo global de investigación y análisis (GReAT) de Kaspersky ha realizado un exhaustivo análisis sobre los pipelines de integración y entrega continua (CI/CD) alojados en GitHub, una de las plataformas más populares en el ecosistema DevOps. Los resultados revelan la existencia de más de 250.000 posibles vulnerabilidades en alrededor de 130.000 pipelines, lo que pone de manifiesto la magnitud de los riesgos a los que se enfrentan los desarrolladores y las organizaciones que confían en estos entornos automatizados.

#### Contexto del Incidente o Vulnerabilidad

Con el auge de las metodologías DevOps y la adopción masiva de herramientas de integración continua como GitHub Actions, Jenkins, Travis CI y otras, los pipelines se han convertido en un componente crítico para construir, probar y desplegar aplicaciones de forma automatizada. Sin embargo, la seguridad en estos entornos suele ser secundaria frente a la agilidad y la velocidad de desarrollo.

GitHub, en particular, aloja millones de repositorios públicos y privados con archivos de configuración YAML que definen workflows de CI/CD. Las malas configuraciones, la exposición accidental de secretos y la falta de controles de acceso rigurosos han sido señalados como vectores de ataque recurrentes en los últimos años. El estudio de Kaspersky GReAT evidencia que dichos problemas siguen siendo una amenaza latente y masiva.

#### Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

El análisis de Kaspersky se centró en la revisión automática de aproximadamente 130.000 pipelines públicos en GitHub, identificando más de 250.000 posibles problemas de seguridad, entre los que destacan:

– **Exposición de secretos**: Claves de API, tokens de acceso, credenciales en texto claro o variables de entorno mal gestionadas.
– **Uso de acciones o scripts de terceros inseguros**: Dependencias de repositorios externos sin versiones fijas, lo que abre la puerta a ataques de *supply chain* (MITRE ATT&CK T1195).
– **Permisos excesivos en los workflows**: Configuraciones que otorgan privilegios elevados innecesarios, permitiendo la ejecución arbitraria de código (T1059).
– **Falta de validación de entradas**: Parámetros no saneados que pueden ser manipulados por actores maliciosos para inyectar comandos o explotar vulnerabilidades conocidas (CVE-2022-24765, CVE-2023-22490, entre otras).
– **Ejecución de comandos en runners públicos sin aislamiento**: Riesgo de *cross-contamination* y escaladas de privilegios.

El estudio también identificó IoCs (Indicadores de Compromiso) asociados con la explotación de pipelines, como el uso de scripts maliciosos descargados desde dominios sospechosos y la persistencia de artefactos manipulados.

#### Impacto y Riesgos

Las vulnerabilidades detectadas en los pipelines comprometen tanto la integridad del software como la confidencialidad de los datos gestionados durante el proceso CI/CD. Entre los riesgos más relevantes se encuentran:

– **Compromiso de la cadena de suministro de software**: Un atacante puede inyectar código malicioso en artefactos de producción, afectando a miles o millones de usuarios finales.
– **Filtración de datos sensibles**: Credenciales expuestas pueden facilitar movimientos laterales dentro de la organización o ataques directos a infraestructuras críticas.
– **Ransomware y sabotaje**: La manipulación de pipelines puede derivar en la interrupción de servicios, sabotaje de builds o despliegue de ransomware.
– **Incumplimiento normativo**: Exponer datos personales o confidenciales puede suponer sanciones según el GDPR y futuras normativas como NIS2.

#### Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque en pipelines CI/CD, los equipos de seguridad y desarrollo deben:

– **Gestionar los secretos de forma segura**: Utilizar *vaults* dedicados y nunca almacenar credenciales en texto claro en repositorios.
– **Restringir permisos en workflows**: Aplicar el principio de menor privilegio y auditar periódicamente las configuraciones de GitHub Actions y runners.
– **Fijar versiones de dependencias y acciones externas**: Evitar referencias a ramas en acciones de terceros y monitorizar repositorios externos utilizados.
– **Implementar validación y saneamiento estricto de entradas**: Prevenir la inyección de comandos y otros vectores de ataque.
– **Monitorizar y auditar pipelines de forma continua**: Integrar soluciones de seguridad específicas para CI/CD y establecer alertas ante anomalías.

#### Opinión de Expertos

Expertos del sector enfatizan que la seguridad en pipelines CI/CD debe ser una prioridad estratégica. Como señala Dmitry Galov, investigador principal de Kaspersky GReAT, “la automatización sin controles de seguridad adecuados convierte a los pipelines en un blanco fácil para actores maliciosos”. Por su parte, CISOs y responsables de seguridad insisten en la necesidad de formar a los equipos de desarrollo en buenas prácticas y en la adopción de herramientas de análisis estático y dinámico aplicadas a los pipelines.

#### Implicaciones para Empresas y Usuarios

La exposición de vulnerabilidades en pipelines CI/CD no solo afecta a los desarrolladores, sino que puede tener consecuencias devastadoras para empresas de todos los sectores. La reputación corporativa, la confianza de los clientes y el cumplimiento regulatorio están en juego. Además, los usuarios finales pueden verse afectados por la distribución de software comprometido, lo que subraya la importancia de un enfoque de seguridad integral en toda la cadena de suministro digital.

#### Conclusiones

El análisis masivo realizado por Kaspersky GReAT pone sobre la mesa la urgente necesidad de reforzar la seguridad en los pipelines de GitHub y, por extensión, en todo el ecosistema DevOps. La elevada incidencia de malas prácticas y configuraciones inseguras demuestra que la automatización debe ir de la mano de controles y auditorías de seguridad continuas. En un contexto marcado por el incremento de los ataques a la cadena de suministro, invertir en la protección de pipelines CI/CD ya no es una opción, sino una obligación para cualquier organización orientada a la resiliencia digital.

(Fuente: www.kaspersky.com)