Το GitHub προχώρησε σε key rotation λόγω μιας ευπάθειας που διορθώθηκε τον Δεκέμβριο. Η ευπάθεια θα μπορούσε να επιτρέψει στους κακόβουλους χρήστες να έχουν πρόσβαση στα credentials εντός των production containers μέσω environment variables.
Η ευπάθεια που παρακολουθείται ως CVE-2024-0200, μπορεί να επιτρέψει στους εισβολείς να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα σε μη ενημερωμένους servers.
Ενημερώσεις κυκλοφόρησαν και χθες (3.8.13, 3.9.8, 3.10.5 και 3.11.3) σε GitHub Enterprise Server (GHES).
Δείτε επίσης: GitΗub: Όλο και πιο συχνή η κατάχρησή του από κυβερνοεγκληματίες
Ενώ η ευπάθεια επιτρέπει την πρόσβαση σε environment variables ενός production container (συμπεριλαμβανομένων των credentials), η επιτυχής εκμετάλλευση απαιτεί έλεγχο ταυτότητας με ρόλο κατόχου οργανισμού (με admin access στον οργανισμό).
“Στις 26 Δεκεμβρίου 2023, το GitHub έλαβε μια αναφορά μέσω του Bug Bounty Program που δείχνει μια ευπάθεια η οποία, εάν χρησιμοποιηθεί, επιτρέπει την πρόσβαση σε credentials μέσα σε ένα production container. Διορθώσαμε αυτήν την ευπάθεια στο GitΗub.com την ίδια ημέρα και αρχίσαμε να κάνουμε rotation όλα τα δυνητικά εκτεθειμένα credentials“, δήλωσε ο Αντιπρόεδρος και Αναπληρωτής Διευθυντής Ασφαλείας της Github, Jacob DePriest.
Η εταιρεία λέει ακόμα, ότι κατόπιν έρευνας, διαπιστώθηκε ότι αυτή η ευπάθεια δεν είχε χρησιμοποιηθεί σε επιθέσεις. Ωστόσο, η Github αποφάσισε να κάνει key rotation, σύμφωνα με τις διαδικασίες ασφαλείας της εταιρείας, αλλά και ως πρόληψη.
Δείτε επίσης: GitHub: Ενεργοποιήστε το 2FA πριν από την προσεχή προθεσμία
Αν και τα περισσότερα από τα κλειδιά που αντικαταστάθηκαν από το GitHub τον Δεκέμβριο δεν απαιτούν κάποια ενέργεια από τον πελάτη, όσοι χρησιμοποιούν το commit signing key και τα GitHub Actions, GitHub Codespaces και Dependabot customer encryption keys θα πρέπει να εισαγάγουν τα νέα δημόσια κλειδιά.
Σημασία key rotation
Το key rotation είναι μια διαδικασία ασφάλειας που περιλαμβάνει την τακτική αλλαγή των κρυπτογραφικών κλειδιών, που χρησιμοποιούνται για την προστασία των δεδομένων. Αυτό μπορεί να βοηθήσει στην πρόληψη της παραβίασης της ασφάλειας, καθώς ένας επιτιθέμενος θα χρειαστεί να κατακτήσει ξανά το κλειδί κάθε φορά που αλλάζει.
Στην περίπτωση του GitHub, το key rotation μπορεί να βοηθήσει στην μείωση της επίπτωσης του σφάλματος που εκθέτει τα credentials. Αν ένα κλειδί που έχει παραβιαστεί χρησιμοποιείται για την πρόσβαση σε ευαίσθητες πληροφορίες, η αλλαγή του κλειδιού θα αναγκάσει τον επιτιθέμενο να ξεκινήσει την επίθεση από την αρχή.
Δείτε επίσης: GitHub passkeys: Διαθέσιμα για σύνδεση χωρίς κωδικό
Το key rotation είναι ένα σημαντικό μέρος της συνολικής στρατηγικής ασφάλειας του GitHub. Με την τακτική αλλαγή των κλειδιών, το GitHub μπορεί να διασφαλίσει ότι οι επιθέσεις είναι πιο δύσκολες και ότι τα δεδομένα των χρηστών παραμένουν ασφαλή.
Πηγή: www.bleepingcomputer.com
