GitHub самостоятельно заменил ключи корпоративных пользователей, потенциально подверженные критической уязвимости. Её исправили ещё в декабре. Уязвимость могла позволить злоумышленникам получить доступ к учётным данным в производственных контейнерах через переменные среды.
Дыра в безопасности с идентификатором CVE-2024-0200 открывала хакерам доступ к удалённому выполнению кода на неисправленных серверах.
Хотя злоумышленники получают доступ к переменным среды производственного контейнера, включая учётные данные, успешная эксплуатация требует от них аутентификации с ролью владельца организации (с доступом администратора).
В середине января уязвимость исправили в GitHub Enterprise Server (GHES) версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3. При этом платформа призвала всех клиентов установить обновление безопасности как можно скорее.
Вице-президент Github и заместитель директора по безопасности Джейкоб ДеПрист говорит, что учётные данные изменили в соответствии с процедурами безопасности.
Хотя большинство ключей, ротированных в декабре, не требуют никаких действий со стороны клиента, тем, кто использует ключ подписи фиксации GitHub, а также клиентские ключи шифрования GitHub Actions, GitHub Codespaces и Dependabot, придется импортировать их.
Платформа также исправила другую серьёзную уязвимость внедрения команд Enterprise Server (CVE-2024-0507), которая позволяла злоумышленникам использовать учётную запись пользователя консоли управления с ролью редактора для повышения привилегий.
В марте прошлого года компания уже меняла закрытые SSH-ключи после того, как их случайно раскрыли через общедоступный репозиторий GitHub, что повлияло на операции Git через SSH с использованием RSA. Инцидент произошел через несколько недель после того, как платформа начала развёртывать сканирование секретов для всех общедоступных репозиториев.
Несколькими месяцами ранее GitHub также был вынужден отозвать сертификаты подписи кода для своих приложений Desktop и Atom после того, как неизвестные злоумышленники украли их после взлома репозиториев разработки и планирования выпуска компании в декабре 2022 года.
Ранее в GitHub предупредили добавляющих код на платформу разработчиков, что им ограничат функциональность, если они не активируют двухфакторную аутентификацию в своих учётных записях до 19 января 2024 года.
