在開源TensorFlow機(jī)器學(xué)習(xí)框架中發(fā)現(xiàn)的持續(xù)集成與持續(xù)交付（CI/CD）配置錯(cuò)誤，可能被利用來發(fā)起供應(yīng)鏈攻擊。

TensorFlow 是谷歌的開發(fā)者創(chuàng)造的一款開源的深度學(xué)習(xí)框架，于 2015 年發(fā)布。TensorFlow 現(xiàn)已被公司、企業(yè)與創(chuàng)業(yè)公司廣泛用于自動化工作任務(wù)和開發(fā)新系統(tǒng)，其在分布式訓(xùn)練支持、可擴(kuò)展的生產(chǎn)和部署選項(xiàng)、多種設(shè)備（比如安卓）支持方面?zhèn)涫芎迷u。

Praetorian的研究員Adnan Khan和John Stawinski在本周發(fā)布的一份報(bào)告中表示，這些配置錯(cuò)誤可能被攻擊者利用來“通過惡意拉取請求（pull request），在GitHub和PyPi上對TensorFlow版本實(shí)施供應(yīng)鏈妥協(xié)，從而危及TensorFlow的構(gòu)建代理”，

通過利用這些漏洞，攻擊者可將惡意版本上傳到GitHub倉庫，并獲得自托管GitHub運(yùn)行器（runner）上的遠(yuǎn)程代碼執(zhí)行權(quán)限，甚至檢索tensorflow-jenkins用戶的GitHub個(gè)人訪問令牌（PAT）。

TensorFlow使用GitHub Actions自動化軟件構(gòu)建、測試和部署流程。運(yùn)行器指的是執(zhí)行GitHub Actions工作流中任務(wù)的機(jī)器，可以自托管，也可以由GitHub托管。

GitHub在其文檔中寫道，“建議用戶僅在私有倉庫中使用自托管運(yùn)行器，因?yàn)楣矀}庫的分支可能通過創(chuàng)建執(zhí)行危險(xiǎn)代碼的工作流拉取請求，在您的自托管運(yùn)行器機(jī)器上運(yùn)行潛在危險(xiǎn)的代碼?！?/p>

換言之，這允許任何貢獻(xiàn)者通過提交惡意拉取請求，在自托管運(yùn)行器上執(zhí)行任意代碼。然而，這并不會對GitHub托管的運(yùn)行器構(gòu)成任何安全問題，因?yàn)槊總€(gè)運(yùn)行器都是短暫的，并且是一個(gè)干凈、隔離的虛擬機(jī)，在任務(wù)執(zhí)行結(jié)束后就會被銷毀。

Praetorian表示，它能夠識別在自托管運(yùn)行器上執(zhí)行的TensorFlow工作流，隨后發(fā)現(xiàn)以前的貢獻(xiàn)者提交的分支拉取請求自動觸發(fā)了相應(yīng)的CI/CD工作流，且無需批準(zhǔn)。

因此，一個(gè)想要對目標(biāo)倉庫進(jìn)行木馬化的攻擊者的操作是這樣的，他會修正一個(gè)拼寫錯(cuò)誤或進(jìn)行一個(gè)小但合法的代碼更改，為此創(chuàng)建一個(gè)拉取請求，然后等待拉取請求被合并，以成為一個(gè)貢獻(xiàn)者。這將使他們能夠在創(chuàng)建惡意拉取請求時(shí)執(zhí)行代碼，而不會引起任何警告。

進(jìn)一步檢查工作流日志顯示，自托管運(yùn)行器不僅是非短暫性的（從而為持久性打開了大門），而且與工作流相關(guān)的GITHUB_TOKEN權(quán)限包含了廣泛的寫權(quán)限。

研究人員指出“因?yàn)镚ITHUB_TOKEN擁有contents:write權(quán)限，它可以上傳版本到https://github[.]com/tensorflow/tensorflow/releases/，攻擊者如果危及這些GITHUB_TOKEN，就可以在發(fā)布資產(chǎn)中添加他們自己的文件?！倍鴆ontents:write權(quán)限可以被用來直接向TensorFlow倉庫推送代碼，通過秘密地將惡意代碼注入到一個(gè)特性分支，并將其合并到主分支。

不僅如此，一個(gè)威脅行為者還可以竊取，在發(fā)布工作流中用于認(rèn)證Python包索引（PyPI）注冊表的AWS_PYPI_ACCOUNT_TOKEN，并上傳一個(gè)惡意的Python .whl文件，以便有效地污染包。

“攻擊者還可以利用GITHUB_TOKEN的權(quán)限來危及JENKINS_TOKEN倉庫密鑰，盡管這個(gè)密鑰并未在自托管運(yùn)行器上運(yùn)行的工作流中使用?！?/p>

隨著越來越多的組織自動化他們的CI/CD流程，類似的CI/CD攻擊正在上升。“人工智能/機(jī)器學(xué)習(xí)公司尤其脆弱，因?yàn)樗麄兊脑S多工作流需要大量的計(jì)算能力，這在GitHub托管的運(yùn)行器中是不可用的，因此自托管運(yùn)行器很普遍。”

這一披露是在兩位研究員揭示了包括與Chia網(wǎng)絡(luò)、微軟DeepSpeed和PyTorch相關(guān)的多個(gè)公共GitHub倉庫，都容易受到通過自托管GitHub Actions運(yùn)行器注入惡意代碼的攻擊。

參考來源：https://thehackernews.com/2024/01/tensorflow-cicd-flaw-exposed-supply.html