- Die einfache Verwechslung von ghcr.io und ghrc.io durch einen Tippfehler führt zu einer ernsten Sicherheitsbedrohung
- ghrc.io wirkt auf den ersten Blick wie ein normaler nginx-Server, intern wurde jedoch ein Nachahmen der OCI-API festgestellt
- Die Website verleitet Container-Clients über den
www-authenticate-Header dazu, sensible Anmeldedaten zu senden - Wenn versehentlich Anmeldedaten eingegeben werden, etwa mit
docker login, oder ein falsches Registry-Ziel verwendet wird, kann es zu einem Abfluss von Zugangsdaten kommen - Wer sich bei dem falschen Registry-Server angemeldet hat, sollte das Passwort ändern, PATs widerrufen und das GitHub-Konto auf verdächtige Aktivitäten prüfen
Überblick
Die leicht durch einen Tippfehler entstehende Verwechslung von ghcr.io und ghrc.io zeigt einen Fall, in dem ein sehr gefährliches Sicherheitsproblem entsteht. Bei ghrc.io, einer vertippten Variante der von vielen Entwicklern und Teams genutzten GitHub Container Registry (ghcr.io), wurde ein Versuch zum Diebstahl von Zugangsdaten beobachtet.
Was ist ghcr.io?
- ghcr.io ist eine OCI-kompatible Registry für Container-Images und OCI-Artefakte
- Als Teil von GitHub wird sie in zahlreichen Open-Source-Projekten als beliebte Registry verwendet
ghrc.io: der oberflächliche Eindruck
- Beim Aufruf von ghrc.io erscheint lediglich die Standardseite von nginx
- Typische Grundfunktionen wie ein 404-Fehler verhalten sich wie bei einem gewöhnlichen nginx-Server
Die Natur des bösartigen Verhaltens
- Das zentrale Problem zeigt sich bei OCI-API-Aufrufen unter dem Präfix
/v2/ - Beim Zugriff auf diesen Pfad verhält sich die Seite mit einem
www-authenticate-Header und einer 401-Antwort sehr ähnlich zu einer offiziellen Container-Registry - Der Header
www-authenticate: Bearer realm="https://ghrc.io/token";ist vorhanden - Durch diesen Header versuchen Clients wie Docker, containerd, podman und Kubernetes, Benutzeranmeldedaten automatisch an
https://ghrc.io/tokenzu übermitteln - Da die nginx-Standardkonfiguration diesen Header nicht enthält, ist dies offensichtlich absichtlich konfiguriert worden
Das Risiko: Szenario für den Diebstahl von Zugangsdaten
- Dieses Muster wird als Typo-Squatting-basierter Angriff zum Diebstahl von Zugangsdaten eingeschätzt
- Ein Risiko besteht nur dann, wenn Benutzer-Clients Anmeldedaten für ghrc.io eingegeben oder gespeichert haben
- Beispiele für Situationen, in denen echte Anmeldedaten offengelegt werden können
- Ausführung von
docker login ghrc.io - Verwendung von
docker/login-actionin GitHub Actions, wenn die Registry auf ghrc.io gesetzt ist - Speicherung von Registry-Anmeldedaten für ghrc.io in einem Kubernetes-Secret und anschließender Versuch, Images zu pullen
- Ausführung von
- Wenn nur versucht wird, Images von ghrc.io zu pushen oder zu pullen, werden Anmeldedaten nicht offengelegt (es wird ein anonymer Token versucht und anschließend ein Fehler zurückgegeben)
Gegenmaßnahmen
- Wer sich versehentlich bei ghrc.io angemeldet hat, sollte sofort das Passwort ändern und den verwendeten PAT (Personal Access Token) widerrufen
- Das GitHub-Konto sollte unbedingt auf ungewöhnliche Logins oder bösartige Aktivitäten geprüft werden
- Angreifer könnten dies ausnutzen, um bösartige Images in Repositories auf ghcr.io einzuschleusen oder Zugriff auf Konten zu erlangen
Fazit
- Vorsicht vor Phishing-Websites, die Adressen ähnlich wie ghcr.io verwenden
- Für den Umgang mit Anmeldedaten, Tokens, Passwörtern und anderen Sicherheitsinformationen sind noch strengere Sicherheitsrichtlinien erforderlich
Noch keine Kommentare.