CISA warnt vor einem Lieferkettenangriff, der eine Schwachstelle in GitHub Actions ausnutzt

Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine dringende Warnung herausgegeben wegen eines kritischen Angriffs auf die Lieferkette. Betroffen ist die weit verbreitete Drittanbieter-GitHub-Aktion tj-actions/changed-files.

Diese Aktion, die unter der Schwachstellenkennung CVE-2025-30066 ausgenutzt wird, dient dazu, Änderungen an Dateien bei Pull-Anfragen oder Commits zu erkennen. Die Kompromittierung stellt jedoch ein erhebliches Sicherheitsrisiko dar, da Angreifer unbefugten Zugriff auf sensible Daten erhalten können – darunter Zugriffsschlüssel, persönliche GitHub-Zugriffstoken (PATs), npm-Token und private RSA-Schlüssel.

Die Sicherheitslücke wurde als kritisch eingestuft, weshalb CISA CVE-2025-30066 in seinen Katalog der bekannten ausgenutzten Schwachstellen aufgenommen hat.

Die Behörde empfiehlt Nutzern dringend, ihre GitHub Actions auf mindestens Version 46.0.1 zu aktualisieren, um die Schwachstelle zu schließen.

Dieser Angriff unterstreicht die wachsende Bedrohung durch Lieferkettenattacken, bei denen die Kompromittierung einer einzelnen Komponente massive Auswirkungen auf zahlreiche Organisationen haben kann, die die betroffene Software einsetzen.

CISA hebt die Bedeutung robuster Sicherheitsmaßnahmen bei der Nutzung von Drittanbieteraktionen hervor, um derartigen Risiken entgegenzuwirken.

Dazu zählt die genaue Überprüfung der Protokolle auf Hinweise auf unbefugten Zugriff sowie die Gewährleistung, dass sämtliche Softwarekomponenten stets mit den neuesten Sicherheitsupdates aktualisiert sind.

Anleitung und Ressourcen zur Schwachstellenbehebung

CISA bietet Organisationen verschiedene Ressourcen, um diese Schwachstelle effektiv zu adressieren:

• GitHub-Dokumentation: Detaillierte Anleitungen zur Sicherheitshärtung von GitHub-Aktionen sind in der offiziellen GitHub-Dokumentation verfügbar.
• Anbieter-Support: Spezifische Informationen zur betroffenen Aktion und ihren Auswirkungen finden sich auf der GitHub-Seite von tj-actions/changed-files.
• Sicherheits-Tools: Tools wie die Harden-Runner-Erkennung von StepSecurity und die Analyse von Wiz liefern wertvolle Einblicke in die Identifikation und Eindämmung des Angriffs.

Diese Ressourcen ermöglichen eine schnelle Reaktion, um potenzielle Schäden zu minimieren und zukünftige Angriffe zu verhindern.

Die Kompromittierung von tj-actions/changed-files unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen in der Softwareentwicklung und -bereitstellung. Da sich die digitale Bedrohungslage kontinuierlich verändert, ist es essenziell, wachsam zu bleiben, um sensible Daten zu schützen und das Vertrauen in Software-Lieferketten aufrechtzuerhalten.

Nutzer sollten ihre Systeme regelmäßig aktualisieren und bewährte Sicherheitspraktiken anwenden, um sich effektiv gegen neue Bedrohungen zu wappnen.

Bild/Quelle: https://depositphotos.com/de/home.html