Git-Rotate: Neues Tool errät fremde Zugangsdaten via Github Actions

Der Sicherheitsforscher Daniel Underhay von Aura Research Division hat offenbar einen Weg gefunden, Github Actions für Password-Spraying-Angriffe zu missbrauchen. Das Automatisierungstool liefert dafür wohl optimale Bedingungen: Für öffentliche Repositories sei es kostenlos nutzbar und hinsichtlich der Ausführungszeit und des Speicherplatzes gebe es keinerlei Einschränkungen, erklärt Underhay in einem Blogbeitrag.

Obendrein würden Github Actions auf virtuellen Maschinen (VMs) ausgeführt, denen jeweils per Zufall eine IP-Adresse aus einem größeren Adresspool zugewiesen werde. Eine aktuelle Liste der verfügbaren Adressbereiche lässt sich über eine öffentliche API abrufen. Darüber hinaus verfüge Githubs Automatisierungstool über eine gut dokumentierte Rest-API, so Underhay.

Password Spraying umgeht gängige Schutzmaßnahmen

Durch Password-Spraying-Angriffe verschaffen sich Angreifer einen unbefugten Zugriff auf Cloudinfrastrukturen oder Webanwendungen. Dafür versuchen sie, sich mit einer kleinen Liste gängiger Passwörter und einer großen Anzahl verschiedener Nutzernamen automatisiert bei verschiedenen Anmeldeportalen einzuloggen. Die Hackergruppe Midnight Blizzard setzte diese Angriffstechnik zuletzt vermehrt ein, um Systeme von Microsoft zu infiltrieren.

Schutzmaßnahmen wie automatische Kontosperrungen durch zu viele fehlgeschlagene Anmeldeversuche werden dabei durch die Verteilung des Angriffs auf mehrere Nutzerkonten und Systeme gezielt umgangen. Gleiches gilt für IP-basierte Blockaden, die der Angreifer dadurch aushebelt, dass er den Angriff von verschiedenen IP-Adressen aus ausführt.

Einen effektiven Schutz vor Password Spraying bietet die Erstellung sicherer Passwörter. Ein Leitfaden dafür ist beispielsweise auf der Webseite des BSI zu finden.

Forscher veröffentlicht Password-Spraying-Tool

Mit Git-Rotate hat Underhay ein Python-basiertes Tool entwickelt, mit dem sich Password-Spraying-Angriffe über Github Actions ausführen lassen. Die einzelnen Komponenten seien derzeit so konfiguriert, dass sie das Login-Portal von Microsoft anvisierten, erklärt der Forscher im Github-Repository, in dem er das Tool veröffentlicht hat. Wer den Angriff gegen andere Ziele testen wolle, müsse entsprechende Anpassungen vornehmen.

Der Forscher warnt jedoch zugleich, Github nehme Missbrauch und Spam im Zusammenhang mit Actions sehr ernst. Ein spezielles Team verfolge solche Operationen gezielt. Für Kontosperrungen aufgrund von Verstößen gegen die Nutzungsbedingungen von Github übernehme Underhay keine Haftung. Eine kurze Demonstration des Tools hat der Forscher auf Youtube veröffentlicht.