GitHub, Aralık ayında yamalanan ve saldırganların ortam değişkenleri aracılığıyla üretim konteynerlerindeki kimlik bilgilerine erişmesine olanak tanıyan bir güvenlik açığı nedeniyle potansiyel olarak açığa çıkan anahtarları döndürdü.
Bu güvenli olmayan yansıma güvenlik açığı (CVE-2024-0200 olarak izlenir), saldırganların yama uygulanmamış sunucularda uzaktan kod yürütme olanağına sahip olmasına olanak tanıyabilir.
Ayrıca salı günü GitHub Enterprise Server’ın (GHES) 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 sürümlerine de yama uygulandı ve şirket, tüm müşterilerini güvenlik güncellemesini mümkün olan en kısa sürede yüklemeye çağırdı.
Tehdit aktörlerinin, kimlik bilgileri de dahil olmak üzere bir üretim kapsayıcısının ortam değişkenlerine erişmesine izin verirken, başarılı bir şekilde yararlanma, kuruluş sahibi rolüyle (kuruluşta yönetici erişimine sahip) kimlik doğrulaması gerektirir.
“26 Aralık 2023’te GitHub, Hata Ödül Programımız aracılığıyla, kötüye kullanılması halinde üretim kapsayıcısındaki kimlik bilgilerine erişime izin veren bir güvenlik açığını gösteren bir rapor aldı. Bu güvenlik açığını aynı gün GitHub.com’da düzelttik ve potansiyel olarak açığa çıkan tüm bilgileri rotasyona tabi tutmaya başladık Kimlik bilgisi” dedi Github Başkan Yardımcısı ve Güvenlik Şefi Yardımcısı Jacob DePriest.
“Tam bir araştırma yürüttükten sonra, bu sorunun benzersizliğine ve telemetri ve günlük kayıtlarımızın analizine dayanarak, bu güvenlik açığının daha önce bulunup kullanılmadığını büyük bir güvenle değerlendiriyoruz.”
Kuruluş sahibi rolü gerekliliği önemli bir hafifletici faktör olsa da ve güvenlik açığının etkisi, sorunu GitHub’un Hata Ödül Programı aracılığıyla bulan ve bildiren araştırmacıyla sınırlı olsa da DePriest, kimlik bilgilerinin hala güvenlik prosedürlerine göre değiştirildiğini ve “çok sayıda kaynaktan” kaynaklandığını söylüyor. Dikkat.”
Aralık ayında GitHub tarafından değiştirilen anahtarların çoğu müşteri eylemi gerektirmese de GitHub’un taahhüt imzalama anahtarını ve GitHub Eylemlerini, GitHub Kod Alanlarını ve Dependabot müşteri şifreleme anahtarlarını kullananların yeni ortak anahtarları içe aktarması gerekecek.
”GitHub’dan en güncel verileri kullandığınızdan emin olmak için genel anahtarları API’den düzenli olarak almanızı şiddetle tavsiye ediyoruz. Bu aynı zamanda gelecekte yeni anahtarların sorunsuz bir şekilde benimsenmesine de olanak tanıyacaktır,” dedi DePriest.
GitHub ayrıca, düzenleyici rolüne sahip bir Yönetim Konsolu kullanıcı hesabı kullanan saldırganların ayrıcalıkları yükseltmesine olanak tanıyan ikinci bir yüksek önem derecesine sahip Kurumsal Sunucu komut ekleme güvenlik açığını (CVE-2024-0507) da düzeltti.
Bu, şirketin geçtiğimiz yıl açığa çıkan veya çalınan sırları rotasyona tabi tutmak veya iptal etmek zorunda kaldığı ilk sefer değil.
Örneğin, geçtiğimiz Mart ayında GitHub.com özel SSH anahtarını, halka açık bir GitHub deposu aracılığıyla kazara ve “kısa süreliğine” ifşa edildikten sonra rotasyona tabi tuttu ve RSA kullanarak SSH üzerinden Git işlemlerini etkiledi.
Olay, şirketin API anahtarlarını, hesap şifrelerini, kimlik doğrulama belirteçlerini ve diğer gizli veri uyarılarını desteklediği için açığa çıkan anahtarı yakalaması gereken tüm halka açık depolar için gizli taramayı başlatmasından haftalar sonra meydana geldi.
Aylar önce GitHub, Aralık 2022’de şirketin geliştirme ve yayınlama planlama havuzlarını ihlal ettikten sonra bilinmeyen saldırganların bunları çalmasının ardından Masaüstü ve Atom uygulamalarına yönelik kod imzalama sertifikalarını da iptal etmek zorunda kalmıştı.