GitHub Actions OIDC: 8 em 10 contas AWS têm esta brecha
Falha comum no OIDC do GitHub Actions expõe contas AWS.
GitHub Actions OIDC: 8 em 10 contas AWS têm esta brecha
20 de março de 2026
Uma configuração inadequada no uso do OIDC (OpenID Connect) com GitHub Actions pode abrir uma brecha de segurança crítica em contas AWS. Muitas empresas confiam no OIDC para autenticação, mas uma linha de código esquecida pode permitir que qualquer repositório GitHub assuma a função de implantação AWS, comprometendo dados e recursos.
O Perigo Oculto no OIDC do GitHub Actions
O OIDC oferece uma maneira moderna e segura de conectar o GitHub Actions à AWS, eliminando a necessidade de armazenar chaves de acesso de longo prazo. No entanto, a segurança depende da configuração correta das permissões. Uma regra mal configurada é como instalar uma porta blindada e deixar a chave pendurada na maçaneta.
A vulnerabilidade reside na ausência de uma condição específica no bloco de configuração do IAM (Identity and Access Management). A configuração segura deve incluir a verificação da alegação sub (subject), que restringe o acesso a um repositório e branch específicos. Sem essa linha, qualquer repositório GitHub pode usar a função.
Como um Simples npm install Pode Levar ao Caos
Imagine o seguinte cenário: um desenvolvedor instala um pacote npm comprometido, que rouba seu token GitHub. Com esse token, um invasor pode acessar o repositório da organização e explorar workflows do GitHub Actions que implantam recursos na AWS usando OIDC.
A regra AWS utilizada pelo GitHub Actions está configurada de forma que qualquer repositório GitHub possa utilizá-la, e não apenas os pertencentes à organização. Os invasores geram credenciais temporárias AWS, explorando a má configuração do OIDC, e implantam um CloudFormation com a capacidade de criar uma nova função IAM com acesso de administrador. Em menos de 72 horas, o estrago está feito.
Preocupado com a segurança da sua infraestrutura?
Solicite uma demonstração da Toolzz AIVerificação Rápida: Sua Conta Está Vulnerável?
Para verificar se sua conta está vulnerável, execute o seguinte comando AWS CLI:
bash aws iam list-roles --output json | jq -r ' .Roles[] | select( .AssumeRolePolicyDocument.Statement[] | select(.Principal.Federated? // empty | endswith("token.actions.githubusercontent.com")) | (.Condition.StringEquals["token.actions.githubusercontent.com:sub"] // .Condition.StringLike["token.actions.githubusercontent.com:sub"]) == null ) | "(.RoleName) -- VULNERABLE"'
Se o comando retornar algum resultado, sua conta está em risco. Inspecione cada função listada para confirmar a ausência da condição sub.
A Correção com Terraform
Ao utilizar Terraform, evite a função jsonencode() para definir a política. Utilize aws_iam_policy_document para garantir que todas as condições sejam aplicadas corretamente. A configuração correta deve incluir blocos de condição separados para aud (audience) e sub (subject):
terraform data "aws_iam_policy_document" "github_actions_trust" { statement { effect = "Allow" actions = ["sts:AssumeRoleWithWebIdentity"]
principals {
type = "Federated"
identifiers = [aws_iam_openid_connect_provider.github.arn]
}
condition {
test = "StringEquals"
variable = "token.actions.githubusercontent.com:aud"
values = ["sts.amazonaws.com"]
}
condition {
test = "StringLike"
variable = "token.actions.githubusercontent.com:sub"
values = ["repo:YOUR_ORG/YOUR_REPO:ref:refs/heads/main"]
}
} }
resource "aws_iam_role" "github_actions" { name = "GitHubActionsRole" assume_role_policy = data.aws_iam_policy_document.github_actions_trust.json }
Implicações e Monitoramento
A falta dessa verificação passa despercebida pelas ferramentas de monitoramento tradicionais, pois a chamada AssumeRoleWithWebIdentity vem de um provedor de identidade legítimo (GitHub) com um token válido. É crucial monitorar os logs do CloudTrail para identificar tentativas de acesso não autorizadas.
Não deixe a segurança da sua conta AWS ao acaso. Descubra como a Toolzz AI pode fortalecer suas defesas e proteger seus dados contra ameaças.
A Importância da Segurança Contínua
Este cenário demonstra a importância de auditorias de segurança regulares e da revisão contínua das configurações de acesso. As empresas devem ir além das configurações padrão e implementar medidas de segurança adicionais para proteger seus ambientes de nuvem.
A segurança em nuvem é um processo contínuo, e a automação desempenha um papel crucial na detecção e correção de vulnerabilidades. Plataformas como a Toolzz AI podem auxiliar na identificação de riscos e na implementação de políticas de segurança robustas, garantindo que seus recursos na nuvem estejam sempre protegidos.
Veja como é fácil criar sua IA
Clique na seta abaixo para começar uma demonstração interativa de como criar sua própria IA.
.webp){kind=small}
