1.รายละเอียดของภัยคุกคาม
ช่องโหว่นี้เกิดจากข้อบกพร่องในการจัดการสิทธิ์ของบัญชีผู้ใช้งานบน GitHub.dev ซึ่งเป็นสภาพแวดล้อมการเขียนโค้ดบนเว็บเบราว์เซอร์ ผู้โจมตีจะอาศัยเทคนิค Social Engineering เพื่อหลอกให้นักพัฒนาเปิดลิงก์ที่สร้างขึ้นมาเป็นพิเศษ หรือเปิดไฟล์สมุดบันทึกโค้ด (Jupyter Notebook) ที่แฝงคำสั่งอันตราย หากการหลอกลวงสำเร็จ ผู้โจมตีจะสามารถดึงข้อมูลโทเคนยืนยันตัวตน (OAuth Token) ของเหยื่อออกไปได้ โทเคนนี้จะเปิดทางให้ผู้โจมตีได้รับสิทธิ์เทียบเท่าเจ้าของบัญชี สามารถเข้าถึงความลับขององค์กร เปลี่ยนแปลงไฟล์ซอร์สโค้ด (Commit/Pull Request) หรือแทรกแซงระบบส่งมอบซอฟต์แวร์อัตโนมัติ (CI/CD Pipelines) ปัจจุบันมีรายงานการเผยแพร่ชุดโค้ดทดสอบการเจาะระบบ (Proof-of-Concept) สู่สาธารณะแล้ว ทำให้มีโอกาสสูงที่จะเกิดการโจมตีจริง [(3), (4)]

2.ผลิตภัณฑ์และผู้ใช้งานที่อาจได้รับผลกระทบ
2.1 ผู้ใช้งาน GitHub.dev ที่เปิด Repository, ไฟล์ Jupyter Notebook หรือลิงก์จากแหล่งที่ไม่น่าเชื่อถือ
2.2 ผู้ใช้งาน Visual Studio Code ที่เชื่อมต่อบัญชี GitHub
2.3 นักพัฒนาโปรแกรมที่ตรวจสอบโค้ดจากบุคคลภายนอก เช่น Pull Request, Repository สาธารณะ หรือไฟล์ที่ได้รับจากภายนอกองค์กร
2.4 หน่วยงานที่มี Repository ส่วนตัวหรือ Repository สำคัญบน GitHub
2.5 องค์กรที่มีการใช้ GitHub ร่วมกับระบบพัฒนาและส่งมอบซอฟต์แวร์ เช่น CI/CD, GitHub Actions หรือระบบจัดการซอร์สโค้ดภายใน
2.6 บัญชีผู้ใช้งานที่มีสิทธิ์สูง เช่น Maintainer, Admin หรือบัญชีที่สามารถแก้ไข Repository สำคัญขององค์กรได้

3.คำแนะนำในการตรวจสอบและป้องกัน
ThaiCERT ขอแนะนำให้ผู้ใช้งาน หน่วยงาน และองค์กรที่มีการใช้งาน Visual Studio Code, GitHub.dev และ GitHub ดำเนินการดังนี้
3.1 หลีกเลี่ยงการเปิดลิงก์ GitHub.dev, ไฟล์ Jupyter Notebook หรือ Repository จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์ที่ได้รับจากบุคคลภายนอกหรือแหล่งสาธารณะ
3.2 ตรวจสอบและทบทวนสิทธิ์ของ GitHub OAuth App, GitHub App และ Personal Access Token ที่เชื่อมต่อกับบัญชีผู้ใช้งาน
3.3 ยกเลิก Token หรือแอปพลิเคชันที่ไม่ทราบที่มา ไม่ได้ใช้งานแล้ว หรือมีสิทธิ์เกินความจำเป็น
3.4 ตรวจสอบสิทธิ์การเข้าถึง Repository โดยเฉพาะบัญชีที่มีสิทธิ์อ่านหรือเขียน Repository ส่วนตัวขององค์กร
3.5 จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege โดยให้เข้าถึงเฉพาะ Repository และระบบงานที่จำเป็นเท่านั้น
3.6 เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชี GitHub ทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์สูง
3.9 พิจารณาใช้นโยบายจำกัดการใช้งาน OAuth App และ GitHub App ในระดับองค์กร เพื่อป้องกันการเชื่อมต่อแอปพลิเคชันที่ไม่ได้รับอนุญาต
3.10 แนะนำให้นักพัฒนาเปิดตรวจสอบโค้ดจากภายนอกในสภาพแวดล้อมแยกต่างหาก เพื่อลดผลกระทบหากไฟล์หรือโค้ดดังกล่าวมีคำสั่งอันตรายแฝงอยู่

4.มาตรการลดความเสี่ยงเร่งด่วน
4.1 ผู้ใช้งานควรออกจากระบบ GitHub.dev และล้าง Cookies หรือ Site Data ของ github.dev ในเว็บเบราว์เซอร์ เพื่อให้ระบบแสดงหน้าต่างยืนยันสิทธิ์ใหม่ก่อนใช้งาน
4.2 หากเคยเปิดลิงก์หรือไฟล์ที่ไม่น่าเชื่อถือผ่าน GitHub.dev ควรตรวจสอบกิจกรรมของบัญชี GitHub โดยทันที
4.3 ผู้ดูแลระบบควรตรวจสอบ Audit Log ของ GitHub Organization เพื่อค้นหากิจกรรมผิดปกติ เช่น การเข้าถึง Repository ที่ไม่สัมพันธ์กับการใช้งานปกติ การสร้าง Token การติดตั้งแอปพลิเคชัน หรือการเปลี่ยนแปลงสิทธิ์
4.4 ตรวจสอบ Repository สำคัญว่ามีการแก้ไขไฟล์ Workflow, Script, Dependency หรือไฟล์กำหนดค่าที่เกี่ยวข้องกับระบบ CI/CD โดยไม่ได้รับอนุญาตหรือไม่
4.5 หากพบพฤติกรรมที่น่าสงสัย ควรยกเลิก Token ที่เกี่ยวข้อง เปลี่ยนรหัสผ่าน ตรวจสอบแอปพลิเคชันที่เชื่อมต่อ และบังคับให้ผู้ใช้งานเข้าสู่ระบบใหม่
4.6 องค์กรควรกำหนดแนวทางให้ผู้ใช้งานหลีกเลี่ยงการเปิดไฟล์ Notebook หรือลิงก์ GitHub.dev จากภายนอก จนกว่าจะตรวจสอบแหล่งที่มาและความน่าเชื่อถือแล้ว
4.7 เพิ่มการเฝ้าระวังเหตุการณ์ผิดปกติที่เกี่ยวข้องกับ GitHub API, GitHub Actions, Repository Permission และการเชื่อมต่อจากตำแหน่งหรืออุปกรณ์ที่ไม่คุ้นเคย

5.แนวทางรับมือเมื่อพบความผิดปกติ
หากหน่วยงานตรวจพบพฤติกรรมผิดปกติที่เกี่ยวข้องกับบัญชี GitHub, GitHub.dev หรือ Repository ขององค์กร เช่น มีการเข้าถึง Repository จากปลายทางที่ไม่คุ้นเคยหรือมีการติดตั้งแอปพลิเคชันที่ไม่ทราบที่มา มี Commit หรือ Pull Request ที่ไม่ได้เกิดจากผู้ใช้งานจริง หรือพบสัญญาณว่า Token อาจถูกนำไปใช้โดยไม่ได้รับอนุญาต ควรดำเนินการดังนี้
5.1 ระงับหรือจำกัดสิทธิ์บัญชีผู้ใช้งานที่เกี่ยวข้องชั่วคราวตามความเหมาะสม
5.2 ยกเลิก GitHub OAuth Token, Personal Access Token และ Session ที่อาจเกี่ยวข้องกับเหตุการณ์
5.3 เปลี่ยนรหัสผ่านบัญชีผู้ใช้งาน และตรวจสอบการเปิดใช้งาน MFA
5.4 ตรวจสอบ OAuth App, GitHub App และส่วนขยายที่เชื่อมต่อกับบัญชีหรือ Organization
5.5 ตรวจสอบ Audit Log, Security Log, GitHub API Log และประวัติการเข้าถึง Repository
5.6 ตรวจสอบ Repository สำคัญว่ามีการเปลี่ยนแปลงไฟล์ โค้ด Workflow หรือค่าการตั้งค่าโดยไม่ได้รับอนุญาตหรือไม่
5.7 ตรวจสอบ Secrets ที่เกี่ยวข้องกับ Repository, GitHub Actions และระบบ CI/CD หากสงสัยว่ามีการรั่วไหลควรดำเนินการ Rotate Secrets โดยทันที
5.8 ตรวจสอบระบบอื่นที่เชื่อมต่อกับ GitHub เช่น ระบบ Build, Deployment, Container Registry, Cloud Platform หรือระบบจัดเก็บ Artifact
5.9 เก็บรักษาหลักฐานที่เกี่ยวข้อง เช่น Audit Log, Commit History, Pull Request, Token Activity และข้อมูลการเชื่อมต่อ เพื่อใช้ในการสืบสวนเหตุการณ์

แหล่งอ้างอิง

[1] https://dg.th/6t2hj1uk7f

[2] https://dg.th/l6pfw0hvob

[3] https://dg.th/xphdeb6ylv

[4] https://dg.th/srkn7wt2hg

ด้วยความปรารถนาดี สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT

#ข่าวไซเบอร์ #CyberSecurity #ThaiCERT #GitHub #VSCode #GitHubDev #OAuthToken #SupplyChainAttack #DeveloperSecurity #AppSec #CICD #GitHubSecurity