Cordyceps-Schwachstelle legt über 300 GitHub-Repos von Microsoft, Google und Apache für Supply-Chain-Angriffe offen

Sicherheitsforscher von Novee Security haben eine systemische Klasse von CI/CD-Workflow-Sicherheitslücken aufgedeckt – getauft auf den Namen Cordyceps – die mehr als 300 GitHub-Repositories für Supply-Chain-Angriffe verwundbar macht. Zu den betroffenen Organisationen gehören Microsoft, Google, Apache, Cloudflare, die Python Software Foundation, LLVM und OpenHands. Es ist kein Organisationszugriff nötig: Ein kostenloser GitHub-Account reicht aus, um verwundbare Repositories auszunutzen.

Die Schwachstelle wurde nach dem parasitären Pilz benannt, der dafür bekannt ist, seine Wirte zu kapern. Wie der Pilz bettet sich Cordyceps leise in Softwareentwicklungs-Pipelines ein und gewährt Angreifern die Kontrolle über Code, der letztendlich an Endnutzer ausgeliefert wird.

Wie der Angriff funktioniert

Die Ursache sind fehlkonfigurierte GitHub Actions Workflows, die Pull Requests mehr Berechtigungen einräumen, als sie haben sollten. Wenn Maintainer pull_request_target oder ähnliche Trigger erlauben, ohne den Zugriff auf Secrets einzuschränken, kann jeder externe Contributor einen PR eröffnen, der Workflow-Jobs mit vollen Repository-Berechtigungen ausführt – inklusive der Möglichkeit, Code zu pushen, CI-Zugangsdaten auszulesen und in Paketregistries zu veröffentlichen.

Novee identifizierte vier verschiedene Angriffsmuster in den betroffenen Repositories: Command Injection (bei der angreiferkontrollierte Eingaben wie Branch-Namen oder PR-Titel direkt in Shell-Befehle interpoliert werden), Code Injection (nicht vertrauenswürdige Daten, die zur Laufzeit in JavaScript-Workflows ausgewertet werden), fehlerhafte Autorisierungslogik, die stillschweigend versagt, sowie Cross-Workflow-Privilege-Escalation, bei der die Ausgabe eines Workflows mit niedrigen Berechtigungen in einen Workflow mit hohen Berechtigungen einfließt.

Ausmaß der Gefährdung

Der Scan der Firma von rund 30.000 einflussreichen Repositories markierte 654 für eine genauere Überprüfung und bestätigte mehr als 300 als vollständig ausnutzbar – das heißt, ein Angreifer könnte beliebigen Code in der CI-Umgebung ausführen, Zugangsdaten stehlen und Pakete manipulieren, die auf npm, PyPI, Rust Crates oder Go Modules veröffentlicht werden.

Zu den konkret bestätigten Zielen gehören Microsofts Azure Sentinel SIEM, Beispiel-Repositories des Google AI Agent Development Kit, Apache Doris (eine Analytik-Datenbank), Cloudflares Workers SDK und Wrangler CLI sowie der Python-Codeformatierer Black. Die Forscher warnen, dass die zugrundeliegenden Muster durch KI-gestützte Codierungswerkzeuge in großem Umfang reproduziert werden, was potenziell Millionen von Repositories betrifft, die über die bereits identifizierten hinausgehen.

Implikationen für die Open-Source-Sicherheit

Supply-Chain-Angriffe sind seit den Vorfällen um SolarWinds und XZ Utils zu einem der folgenreichsten Bedrohungsvektoren in der Softwaresicherheit geworden. Cordyceps zeigt, dass die Angriffsfläche nicht auf bösartige Maintainer oder kompromittierte Pakete beschränkt ist – fehlkonfigurierte Automatisierungs-Pipelines in den anspruchsvollsten Engineering-Organisationen der Welt führen zum gleichen Ergebnis.

Novee beschreibt die Behebung als „unkompliziert, sobald man weiß, wo man suchen muss“, aber das ist ein schwacher Trost für die Tausenden von Projekten, die noch nicht wissen, dass sie exponiert sind. Organisationen, die GitHub Actions einsetzen, sollten sofort ihre Workflow-Trigger-Berechtigungen auditieren, den Zugriff auf Secrets auf vertrauenswürdige Kontexte beschränken und jeden Workflow überprüfen, der auf unvertrauenswürdige Pull-Request-Ereignisse reagiert, so berichtet The Hacker News.