GitHub, kimliği bilinmeyen saldırganların, geliştirme ve sürüm planlama depolarının bazılarına erişim sağladıktan sonra Masaüstü ve Atom uygulamaları için şifrelenmiş kod imzalama sertifikalarını çaldığını söylüyor.
Şimdiye kadar GitHub, parola korumalı sertifikaların (bir Apple Geliştirici Kimliği sertifikası ve Windows uygulamaları için kullanılan iki Digicert kod imzalama sertifikası) kötü amaçlarla kullanıldığına dair hiçbir kanıt bulamadı.
GitHub, “6 Aralık 2022’de, atom, masaüstü ve diğer kullanımdan kaldırılmış Github’a ait kuruluşların depoları, bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir Kişisel Erişim Simgesi (PAT) tarafından klonlandı.” dedi.
“7 Aralık 2022’de tespit edildikten sonra ekibimiz, güvenliği ihlal edilmiş kimlik bilgilerini derhal iptal etti ve müşteriler ve dahili sistemler üzerindeki potansiyel etkiyi araştırmaya başladı. Etkilenen depoların hiçbiri müşteri verisi içermiyordu.”
Şirket, bu güvenlik ihlali nedeniyle GitHub.com hizmetlerinde herhangi bir risk bulunmadığını ve etkilenen projelerde herhangi bir yetkisiz değişiklik yapılmadığını sözlerine ekledi.
Ancak güvenliği ihlal edilmiş sertifikalar, Mac için GitHub Desktop ve bunlar kullanılarak imzalanan Atom sürümlerini geçersiz kılmak için iptal edilecektir.
GitHub, üç sertifikanın 2 Şubat 2023’te iptal edileceğini söyledi:
- Bir Digicert sertifikasının süresi 4 Ocak 2023’te, ikincisi ise 1 Şubat 2023’te sona erecek. Süresi dolduğunda, bu sertifikalar artık kod imzalamak için kullanılamaz. Bunlar devam eden bir risk oluşturmayacak olsa da önleyici bir tedbir olarak 2 Şubat’ta bunları iptal edeceğiz.
- Apple Developer ID sertifikası 2027 yılına kadar geçerlidir. Sertifika 2 Şubat’ta iptal edilene kadar, ifşa edilen sertifikayla imzalanmış tüm yeni yürütülebilir dosyaları (uygulamalar gibi) izlemek için Apple ile birlikte çalışıyoruz.
GitHub, yayınlar sayfasından en son iki Atom uygulaması sürümünü (1.63.0-1.63.1) kaldırdı ve Masaüstü uygulaması sürüm 3.0.2-3.1.2 ile Atom sürüm 1.63.0’ı imzalamak için kullanılan Mac ve Windows imzalama sertifikalarını iptal edecek -1.63.1, 2 Şubat.
Sertifikalar iptal edildikten sonra, güvenliği ihlal edilmiş sertifikalarla imzalanan tüm uygulama sürümleri artık çalışmayacaktır.
GitHub, “4 Ocak 2023’te Masaüstü uygulamasının yeni bir sürümünü yayınladık. Bu sürüm, tehdit aktörüne maruz kalmayan yeni sertifikalarla imzalandı” diye ekledi.
“İş akışlarınızda aksama olmaması için Desktop’ı güncellemenizi ve/veya Atom’u 2 Şubat’tan önce düşürmenizi önemle tavsiye ederiz.”