'disable-sudo' नीति से बचने के लिए Harden-Runner

यह भेद्यता हमलावरों को Harden-Runner के माध्यम से GitHub Actions रनर पर रूट एक्सेस प्राप्त करने की अनुमति देती है। चूंकि रनर अक्सर CI/CD पाइपलाइन का हिस्सा होते हैं, इसलिए यह भेद्यता कोड रिपॉजिटरी तक अनधिकृत पहुंच, संवेदनशील डेटा का समझौता और सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित करने की क्षमता का कारण बन सकती है। हमलावर Docker डेमॉन के साथ इंटरैक्ट करके विशेषाधिकार प्राप्त कंटेनर लॉन्च कर सकते हैं या होस्ट फ़ाइल सिस्टम तक पहुंच सकते हैं, जिससे वे सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह मौजूदा सुरक्षा नियंत्रणों को बाईपास करती है जो sudo एक्सेस को प्रतिबंधित करने के लिए डिज़ाइन किए गए हैं।

Organizations heavily reliant on GitHub Actions for CI/CD pipelines are at significant risk. Specifically, deployments utilizing older versions of Harden-Runner (0.12.0 - 2.11.9) and granting the runner user broad Docker group permissions are particularly vulnerable. Shared hosting environments where multiple users share a runner instance also face increased exposure.

• docker: Inspect Docker group membership for the runner user.

getent group docker | grep -q 'runner' && echo 'Potential Vulnerability: Runner user is in Docker group'

• docker: Monitor Docker daemon logs for unusual container creation or privilege escalation attempts. • generic web: Review GitHub Actions workflows for any suspicious commands or container configurations. • linux / server: Audit Docker daemon configuration for overly permissive settings. • windows / supply-chain: (Less relevant, but check for Docker Desktop installations on runner machines and their configurations.)

1. 2025-04-21Disclosure

   disclosure

1. आरक्षित2025-04-14
2. प्रकाशित2025-04-21
3. संशोधित2025-04-22
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने का प्राथमिक तरीका Harden-Runner को संस्करण 2.12.0 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Docker समूह से रनर उपयोगकर्ता को हटाना या Docker डेमॉन तक रनर उपयोगकर्ता की पहुंच को सीमित करना शामिल हो सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके Docker डेमॉन तक अनधिकृत पहुंच को ब्लॉक किया जा सकता है। सुनिश्चित करें कि GitHub Actions रनर के लिए उपयोग किए जा रहे Docker इमेज नवीनतम सुरक्षा पैच के साथ अपडेट किए गए हैं। अपग्रेड के बाद, यह सत्यापित करें कि disable-sudo नीति प्रभावी ढंग से लागू की गई है और रनर उपयोगकर्ता अब sudo कमांड निष्पादित नहीं कर सकता है।