Una nueva investigación ha encontrado que es posible que los actores de amenazas abusen de una característica legítima en GitHub Codespaces para entregar malware a los sistemas víctimas.
GitHub Codespaces es un entorno de desarrollo configurable basado en la nube que permite a los usuarios depurar, mantener y confirmar cambios en una base de código determinada desde un navegador web o mediante una integración en Visual Studio Code.
También viene con una función de reenvío de puertos que permite acceder a una aplicación web que se ejecuta en un puerto particular dentro del espacio de código directamente desde el navegador en una máquina local para fines de prueba y depuración.
“También puede reenviar un puerto manualmente, etiquetar puertos reenviados, compartir puertos reenviados con miembros de su organización, compartir puertos reenviados públicamente y agregar puertos reenviados a la configuración del espacio de código”, explica GitHub en su documentación.
Es importante tener en cuenta aquí que cualquier puerto reenviado que se haga público también permitirá a cualquier parte con conocimiento de la URL y el número de puerto ver la aplicación en ejecución sin ninguna autenticación.
Además, GitHub Codespaces usa HTTP para el reenvío de puertos. Si el puerto visible públicamente se actualiza para usar HTTPS o se elimina y se vuelve a agregar, la visibilidad del puerto cambia automáticamente a privada.
La firma de ciberseguridad Trend Micro descubrió que tales puertos reenviados compartidos públicamente podrían explotarse para crear un servidor de archivos malicioso utilizando una cuenta de GitHub.
“En el proceso, estos entornos de abuso no se marcarán como maliciosos o sospechosos, incluso cuando sirvan de contenido malicioso (como scripts, malware y ransomware, entre otros), y las organizaciones pueden considerar estos eventos como benignos o falsos positivos”, dijeron los investigadores Nitesh Surana y Magno Logan.
En un exploit de prueba de concepto (PoC) demostrado por Trend Micro, un actor de amenazas podría crear un espacio de código y descargar malware desde un dominio controlado por el atacante al entorno, y establecer la visibilidad del puerto reenviado como público, esencialmente transformando la aplicación para que actúe como un servidor web que aloja cargas útiles no autorizadas.
Aún más preocupante, el adversario puede aumentar este método para implementar malware y comprometer el entorno de una víctima, ya que cada dominio de codespace asociado con el puerto expuesto es único y es poco probable que las herramientas de seguridad lo marquen como un dominio malicioso.
“Usando tales scripts, los atacantes pueden abusar fácilmente de los Codespaces de GitHub para servir contenido malicioso a un ritmo rápido al exponer puertos públicamente en sus entornos de codespace”, explicaron los investigadores.
Si bien la técnica aún no se ha observado en la naturaleza, los hallazgos son un recordatorio de cómo los actores de amenazas podrían convertir en armas las plataformas en la nube para su beneficio y llevar a cabo una serie de actividades ilícitas.
“Los servicios en la nube ofrecen ventajas tanto a los usuarios legítimos como a los atacantes”, concluyeron los investigadores. “Las características ofrecidas a los suscriptores legítimos también están disponibles para los actores de amenazas a medida que aprovechan los recursos proporcionados por el [proveedor de servicios en la nube]”.
Actualización: GitHub abordará los problemas de uso indebido de Codespace
Cuando fue contactado para hacer comentarios, GitHub dijo que es consciente del potencial de mal uso y que tiene la intención de incluir un mensaje cuando los usuarios intenten conectarse a un codespace.
“GitHub se compromete a investigar los problemas de seguridad reportados”, dijo la compañía. “Nosotros […] Planee agregar un mensaje a los usuarios para validar que confían en el propietario al conectarse a un codespace. Recomendamos a los usuarios de GitHub Codespaces que sigan nuestras pautas para mantener la seguridad y minimizar el riesgo de su entorno de desarrollo”.
