GitHub, yetkisiz bir kişinin sistemlerine girip Windows için kullanılan iki şifreli DigiCert kod imzalama sertifikasını ve bir Apple Geliştirici Kimliği sertifikasını çaldıktan sonra Mac için Masaüstü ve Atom metin düzenleyici uygulamalarının kullanıcılarına acil bir uyarı yayınladı. geliştirme ve yayın planlama depolarının bazılarına erişim sağlarlar.
Görünüşe göre GitHub saldırıdan 7 Aralık 2022’de haberdar oldu, ancak sonuç olarak GitHub hizmetleri için “hiçbir risk” bulamayan ve yetkisiz değişiklik yapılmayan kapsamlı bir soruşturmaya kadar halka açılmak için neredeyse iki ay bekledi.
Kuruluştan yapılan açıklamada, “6 Aralık 2022’de Atom, Desktop ve diğer kullanımdan kaldırılmış GitHub’a ait kuruluşlara ait depolar, bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir kişisel erişim belirteci (PAT) tarafından klonlandı.”
“7 Aralık 2022’de tespit edildikten sonra ekibimiz, güvenliği ihlal edilmiş kimlik bilgilerini derhal iptal etti ve müşteriler ile dahili sistemler üzerindeki olası etkileri araştırmaya başladı. Etkilenen havuzların hiçbiri müşteri verisi içermiyordu.
“Ancak GitHub Masaüstü ve Atom sürüm iş akışlarımızdaki Eylemler aracılığıyla kullanılmak üzere bu havuzlarda birkaç şifreli kod imzalama sertifikası saklandı. Tehdit aktörünün bu sertifikaların şifresini çözebildiğine veya kullanabileceğine dair hiçbir kanıtımız yok.”
Önleyici bir önlem olarak, GitHub Desktop ve Atom’un çeşitli sürümlerini geçersiz kılacak şekilde, kullanılan açığa çıkan sertifikalar iptal edilecektir.
Bu nedenle, Masaüstü sürümleri 3.1.2, 3.1.1, 3.1.0, 3.0.8, 3.0.7, 3.0.6, 3.0.5, 3.0.4, 3.0.3 ve 3.0.2’nin Mac kullanıcıları şu tarihe kadar güncelleme yapmalıdır: 2 Şubat 2023 – Windows kullanıcıları üzerinde herhangi bir etkisi yoktur. Bu arada, Atom’un 1.63.1 ve 1.63.0 sürümleri de 2 Şubat’ta çalışmayı durduracak – kullanmaya devam etmek için kullanıcıların önceki bir sürüme geri dönmeleri gerekecek.
GitHub, bu noktada, DigiCert sertifikalarının her ikisinin de süresinin dolacağını ve bu nedenle kodu imzalamak için kullanılamayacağını söyledi, ancak Apple sertifikası 2027’ye kadar geçerliliğini koruyor, bu nedenle GitHub, imzalanan yürütülebilir dosyaları izlemek için Apple ile birlikte çalışıyor. iptal edilene kadar.
Aralık ayında çalınan üç sertifika gibi kod imzalama sertifikaları, kodun listelenen bir yazar tarafından yazıldığını kanıtladıkları için önemlidir. Hırsızlık, Desktop ve Atom’un mevcut kurulumlarını riske atmasa da, hırsız bunların şifresini çözebilseydi, kötü amaçlı yazılım gibi kendi uygulamalarını bu sertifikalarla imzalamaya başlayabilir ve bunların resmi GitHub uygulamaları olduğunu anlayabilir.
“GitHub’ın ve daha geniş geliştirici ekosisteminin güvenliği ve güvenilirliği en yüksek önceliğimizdir. Kullanıcıların GitHub Desktop ve Atom’u kullanmaya devam etmeleri için yukarıdaki öneriler doğrultusunda harekete geçmelerini öneriyoruz” dedi.
Makine kimliği yönetimi uzmanı Venafi’de güvenlik stratejisi ve tehdit istihbaratından sorumlu başkan yardımcısı Kevin Bocek şu yorumu yaptı: “GitHub, geliştiriciler için son derece değerli: 100 milyondan fazla geliştirici platformu, Fortune 500’ü ve Microsoft’tan Google’a kadar her büyük yazılım geliştiricisini kullanıyor. ona güven. Saldırganlar için de bir odak noktası haline gelmesi şaşırtıcı değil.
“Yanlış ellerde, bu makine kimlikleri güvenilirmiş gibi görünmek için kullanılabilir ve bir saldırganın GitHub’dan geliyormuş gibi diğer makineler tarafından doğrulanacak kötü amaçlı içeriği imzalamasına ve göndermesine olanak tanır. Bu, diğer yazılım geliştiricilere yönelik tedarik zinciri saldırılarına ve bilinmeyen sonraki (veya geçmişteki) saldırılara olanak tanıyan güçlü bir silahtır.”
GitHub deneyiminin, hızlı hareket eden mühendislik ekiplerinin saldırı için ne kadar kolay ve farkında olmadan yeni fırsatlar açabileceğini gösterdiğini söyleyen Böcek, bu olayın özellikle makine kimlik yönetiminin nasıl olmazsa olmaz hale geldiğini gösterdiğini vurguladı.
“Kod imzalayan makine kimlikleri, sürekli gözlemlenebilirlik ve kontrol ile korumasız bırakılamaz; makine kimliklerini hızlı bir şekilde bulma ve yeniden yayınlama becerisini manuel olarak yapmak imkansız” dedi.
“Giderek daha yaygın hale gelen bu gibi olaylara karşı koruma sağlamak için güvenlik mühendisliği ekipleri, makine kimlik yönetimini otomatikleştirmek için bir kontrol düzlemi devreye almalıdır. Bunu yaparak, makine kimliklerini hırsızlığa karşı sürekli olarak koruyorlar ve mühendislik ekiplerini yavaşlatan ve ihlallere yol açan kısayollara yol açan manuel döndürme, değiştirme ve iptal işlemlerini önlüyorlar.”
Sectigo kıdemli başkan yardımcısı Jason Soroko şunları ekledi: “Sertifika yaşam döngüsü yönetiminin otomasyonu – iptal dahil – çok önemlidir. Yöneticiler, kuruluşlarındaki sertifikaları düzgün bir şekilde yönetme görünürlüğünden yoksundur. Sertifikalar manuel olarak yönetildiğinde ve yapılandırıldığında, çatlaklardan sıyrılarak işletmeleri kesintilere veya siber saldırılara karşı savunmasız bırakabilir. Otomatik bir sertifika yaşam döngüsü yönetimi (CLM) platformu, sertifikaların gerektiğinde yenilenmesini veya iptal edilmesini sağlayarak gelir ve itibar kaybından kaçınıyor.”