Celah Keamanan Kritis di GitHub Microsoft Terungkap: Ancaman Serius bagi Rantai Pasok Software

Keamanan rantai pasok perangkat lunak kembali menjadi sorotan tajam. Tenable Research baru saja mengungkap adanya kerentanan keamanan tingkat tinggi (Skor CVSSv4 9.3) yang bersumber dari infrastruktur otomasi di salah satu repositori GitHub milik Microsoft.

Celah tersebut memungkinkan pelaku kejahatan siber untuk melakukan Remote Code Execution (RCE) serta mengakses rahasia repositori (secrets) tanpa izin. Temuan ini menegaskan bahwa infrastruktur Continuous Integration/Continuous Deployment (CI/CD) kini menjadi titik serang paling krusial dalam ekosistem teknologi modern.

Fokus utama dari ancaman ini terletak pada repositori Windows-driver-samples. Mengingat repositori ini telah di-fork sebanyak 5.000 kali dan memiliki lebih dari 7.700 bintang, dampak yang dihasilkan bisa sangat masif karena menjadi titik interaksi ribuan pengembang dunia.

Para peneliti di Tenable berhasil mendemonstrasikan bagaimana alur kerja (workflow) otomasi di dalamnya dapat dieksploitasi untuk menyusup ke dalam rantai pasok perangkat lunak hilir.

Metode Eksploitasi ‘Trivial’: Serangan Sederhana Berdampak Fatal

Hal yang paling mengejutkan dari temuan ini adalah betapa sederhananya metode eksploitasi yang digunakan, atau yang oleh para peneliti disebut sebagai “Trivial Exploit Path”. Kerentanan ini berakar dari cacat injeksi string Python sederhana pada skrip otomasi GitHub Actions. Berikut adalah skenario serangan yang berhasil diidentifikasi:

• Pembuatan Laporan (Issue): Penyerang hanya perlu membuka sebuah issue baru di repositori tersebut—sebuah fitur yang tersedia bagi siapa pun pengguna terdaftar.
• Injeksi Kode Berbahaya: Penyerang menyisipkan kode Python berbahaya di dalam deskripsi issue.
• Eksekusi Otomatis: Sistem GitHub Actions akan memicu alur kerja secara otomatis saat issue dibuat, secara tidak sengaja mengeksekusi kode penyerang di lingkungan sistem (runner).
• Pencurian Data Rahasia: Setelah berhasil masuk, penyerang dapat mengekstraksi GITHUB TOKEN serta kunci rahasia lainnya yang dikonfigurasi dalam repositori tersebut.

Integritas Repositori dan Risiko Kebocoran Data

GITHUB TOKEN yang berhasil dicuri bukanlah data sembarangan. Token ini berfungsi sebagai kunci digital yang memberikan hak operasi pada repositori. Karena repositori ini dibuat sebelum tahun 2023, peneliti menyimpulkan bahwa token tersebut kemungkinan besar masih menggunakan pengaturan default dengan izin baca dan tulis yang luas (read/write permissions).

Dengan akses tersebut, pengguna yang tidak sah dapat bertindak seolah-olah mereka adalah pihak internal Microsoft. Mereka bisa memodifikasi konten repositori, memasukkan kode berbahaya ke dalam sampel driver, hingga merusak kredibilitas sistem yang digunakan oleh banyak pengembang di seluruh dunia. Hal ini menciptakan risiko domino yang membahayakan sistem-sistem hilir yang mengandalkan kode dari Microsoft tersebut.

Pelajaran Penting bagi Organisasi: CI/CD Adalah Infrastruktur Kritis

Rémy Marot, Staff Research Engineer di Tenable, menekankan bahwa infrastruktur CI/CD harus dianggap sebagai bagian tak terpisahkan dari permukaan serangan (attack surface) sebuah organisasi. Tanpa perlindungan yang kuat, celah kecil di dalam jalur pipa otomasi dapat memicu serangan rantai pasok berskala besar yang berdampak kritis pada pengguna akhir.

Sebagai tindak lanjut dari temuan ini, Tenable memberikan rekomendasi ketat bagi perusahaan dan pengembang untuk memperkuat benteng pertahanan mereka:

• Kontrol Keamanan Ketat: Terapkan langkah pengamanan berlapis untuk melindungi integritas kode sumber di dalam alur kerja otomasi.
• Tinjau Izin Akses (Permissions): Segera perbarui dan batasi izin GITHUB TOKEN secara eksplisit agar tidak memberikan akses baca/tulis yang terlalu luas secara default.
• Pemantauan Alur Kerja: Lakukan audit rutin pada otomasi skrip untuk mendeteksi potensi kerentanan injeksi, terutama pada bagian yang dipicu oleh input dari pengguna eksternal.

Melalui pengungkapan ini, komunitas keamanan diingatkan bahwa kecanggihan teknologi otomasi harus diimbangi dengan kewaspadaan yang sama tingginya guna menjaga ekosistem software yang aman bagi semua orang.