A
今日中
Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「Cordyceps」を発見しました
📌 一言でいうと
Novee Securityは、GitHubのCI/CDワークフローにおける設定不備による脆弱性「Cordyceps」を発見しました。この脆弱性を悪用すると、認証されていないユーザーがプルリクエストを通じてコード実行や認証情報の窃取、サプライチェーン攻撃を行うことが可能です。MicrosoftやGoogleを含む大手組織の300以上のリポジトリが影響を受けていることが判明しています。
🔍該当判定
- GitHubでソースコードを管理し、GitHub ActionsなどのCI/CDツールを利用している
- GitHubのプルリクエスト(PR)において、外部ユーザーからの提案を自動的に処理する設定にしている
- GitHubのリポジトリ設定で、プルリクエストに過剰な権限(書き込み権限など)を付与している
- 自社でオープンソースソフトウェア(OSS)を公開・運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
CI/CDワークフローの設定を見直し、プルリクエスト(PR)に過剰な権限が付与されていないか確認すること。特に、外部からのPRが機密情報にアクセスしたり、承認なしにコードを実行したりできる設定を排除し、最小権限の原則を適用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub CI/CDワークフローの脆弱性(Cordyceps)への対応について
お疲れさまです。GitHubのCI/CD設定に関する重大な脆弱性「Cordyceps」に関する情報共有です。
■ 概要
CI/CDワークフローの不適切な権限設定により、認証されていない外部ユーザーがプルリクエストを通じてワークフローをハイジャックし、コード実行や認証情報の窃取が可能になる脆弱性です。
■ 影響範囲
- GitHub Actions等のCI/CDワークフローを利用しているリポジトリ
- 特に、外部からのプルリクエストに過剰な権限を許可している設定
■ 対応手順
1. GitHubリポジトリのワークフロー設定(GitHub Actions等)を確認し、`pull_request` イベントにおける権限設定をレビューする。
2. 外部コントリビューターによるPRが、機密変数(Secrets)へのアクセスや特権操作を行えないよう制限をかける。
3. 最小権限の原則に基づき、ワークフローの `permissions` 属性を明示的に定義する。
■ 参考情報
- Novee Security による Cordyceps 報告
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。GitHubのCI/CD設定に関する重大な脆弱性「Cordyceps」に関する情報共有です。
■ 概要
CI/CDワークフローの不適切な権限設定により、認証されていない外部ユーザーがプルリクエストを通じてワークフローをハイジャックし、コード実行や認証情報の窃取が可能になる脆弱性です。
■ 影響範囲
- GitHub Actions等のCI/CDワークフローを利用しているリポジトリ
- 特に、外部からのプルリクエストに過剰な権限を許可している設定
■ 対応手順
1. GitHubリポジトリのワークフロー設定(GitHub Actions等)を確認し、`pull_request` イベントにおける権限設定をレビューする。
2. 外部コントリビューターによるPRが、機密変数(Secrets)へのアクセスや特権操作を行えないよう制限をかける。
3. 最小権限の原則に基づき、ワークフローの `permissions` 属性を明示的に定義する。
■ 参考情報
- Novee Security による Cordyceps 報告
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Addressing GitHub CI/CD Workflow Vulnerability (Cordyceps)
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in GitHub CI/CD configurations codenamed 'Cordyceps'.
■ Overview
Due to weak CI/CD configurations, unauthenticated users can hijack workflows via pull requests (PRs), leading to arbitrary code execution and credential theft.
■ Scope
- Repositories utilizing CI/CD workflows (e.g., GitHub Actions).
- Specifically, those granting excessive permissions to PRs from external contributors.
■ Mitigation Steps
1. Review GitHub workflow configurations and audit permissions associated with `pull_request` events.
2. Ensure that PRs from external forks cannot access sensitive secrets or perform privileged operations without manual approval.
3. Explicitly define the `permissions` attribute in workflow files following the principle of least privilege.
■ Reference
- Novee Security Cordyceps Research
Priority: High
Deadline: Immediate review recommended
Dear IT/Security Team,
We are sharing information regarding a critical vulnerability in GitHub CI/CD configurations codenamed 'Cordyceps'.
■ Overview
Due to weak CI/CD configurations, unauthenticated users can hijack workflows via pull requests (PRs), leading to arbitrary code execution and credential theft.
■ Scope
- Repositories utilizing CI/CD workflows (e.g., GitHub Actions).
- Specifically, those granting excessive permissions to PRs from external contributors.
■ Mitigation Steps
1. Review GitHub workflow configurations and audit permissions associated with `pull_request` events.
2. Ensure that PRs from external forks cannot access sensitive secrets or perform privileged operations without manual approval.
3. Explicitly define the `permissions` attribute in workflow files following the principle of least privilege.
■ Reference
- Novee Security Cordyceps Research
Priority: High
Deadline: Immediate review recommended