谷歌 Bazel 面临命令注入漏洞威胁

最近，安全研究人员在 Google 的开源项目之一，即 Bazel，中发现了一个潜在的供应链漏洞。这个漏洞涉及到 GitHub Actions 工作流程中的命令注入问题，可能导致恶意行为者将恶意代码插入 Bazel 的代码库中。

Cycode 的研究人员指出，这一问题的严重性可能对数百万项目和用户产生影响，涵盖了多个平台，其中包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 自身。从技术角度来看，这一发现主要与 GitHub Actions 有关，它是一个用于持续集成和持续交付（CI/CD）的平台。

GitHub Actions 允许用户创建自定义工作流程，以自动化构建、测试和部署流程。然而，使用自定义操作作为独立工作流任务可能引入复杂性和潜在的安全风险。在最新的公告中，Cycode 特别强调了工作流程中广泛使用的依赖性，通常包括第三方操作，对软件供应链的安全性构成挑战。该公司的研究侧重于间接依赖项的漏洞，尤其是自定义操作，这些漏洞可能存在于不同的存储库和生态系统中，并由不同的维护者负责。本文探讨了 GitHub Actions 生态系统中自定义操作的潜在风险，尤其是复合操作，它将多个工作流程步骤组合到一个操作中。

该通告进一步详细探讨了在 Bazel 的 GitHub Actions 工作流程中发现的漏洞情况，详细描述了从工作流程触发到注入点的步骤。其中一个关键问题是，由于复合操作中缺乏适当的输入验证，导致了注入和执行任意命令的能力。

Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞，几天后收到了确认。紧接着，Google 在 12 月 5 日之前采取了措施，解决并纠正了 Bazel 中的易受攻击的组件。他们实施了必要的修复措施，包括更新了工作流基础权限，并对相关操作进行了修改，以消除命令注入漏洞。