Das JFrog-Security-Research-Team hat kürzlich eine bedeutende Sicherheitslücke entdeckt und entschärft, die potenziell katastrophale Auswirkungen auf die Software-Lieferkette hätte haben können.

Die Schwachstelle betraf ein geleaktes GitHub-Personal-Access-Token (PAT), das in einem Container auf Docker Hub gefunden wurde und Administratorzugriff auf den Python Package Index (PyPI) und die Repositories der Python Software Foundation ermöglichte.

Während routinemäßiger Überprüfungen erkannte JFrog Security das Token in einer kompilierten Python-Datei (.pyc) innerhalb eines Docker-Containers. Das Token war nicht in der entsprechenden Quellcode-Datei vorhanden, was darauf hindeutet, dass es vorübergehend dem Quellcode hinzugefügt und nach der Kompilierung entfernt wurde. Dennoch blieb das Token in der Binärdatei erhalten.

Die Auswirkungen dieser Sicherheitslücke waren erheblich: Das geleakte Token ermöglichte Administratorzugriff auf 91 Repositories der Python-Organisation, 55 unter PyPA, 42 unter PSF und 21 unter PyPI. Ein Missbrauch hätte Millionen von Nutzern weltweit gefährden können.

Nach der Entdeckung informierte JFrog umgehend das Sicherheitsteam von PyPI, das den Token innerhalb von 17 Minuten sperrte und so einen potenziellen Missbrauch verhinderte. Eine gewisse Abhilfe in solchen Situationen können die neueren Fine-Grained-Tokens von GitHub schaffen, die  spezifischere Berechtigungen ermöglichen und so die Sicherheit erhöhen.