GitHub ruota le chiavi dopo vulnerabilità che espone le credenziali

GitHub ha ruotato le chiavi potenzialmente esposte a una vulnerabilità risolta a dicembre che potrebbe consentire agli aggressori di accedere alle credenziali all'interno dei contenitori di produzione tramite variabili di ambiente. Questa vulnerabilità riflessa non sicura (tracciata come CVE-2024-0200) può consentire agli aggressori di ottenere l'esecuzione di codice in modalità remota su server senza patch. Tale problema è stato anche risolto nelle versioni 3.8.13, 3.9.8, 3.10.5 e 3.11.3 di GitHub Enterprise Server (GHES). La società ha poi invitato tutti i clienti a installare l'aggiornamento di sicurezza il prima possibile. Tale vulnerabilità consentiva agli autori delle minacce di accedere alle variabili di ambiente di un contenitore di produzione, comprese le credenziali. Tuttavia, lo sfruttamento riuscito richiede l'autenticazione con il ruolo di proprietario dell'organizzazione (con accesso amministrativo all'organizzazione).

GitHub: vulnerabilità risolta non era stata sfruttata in precedenza

Il vicepresidente di GitHub e vicedirettore della sicurezza, Jacob DePriest, ha rassicurato gli utenti spiegando in un post sul blog dell’azienda che “Il 26 dicembre 2023, GitHub ha ricevuto un rapporto tramite il nostro programma Bug Bounty che dimostrava una vulnerabilità che, se sfruttata, consentiva l'accesso alle credenziali all'interno di un contenitore di produzione. Abbiamo risolto questa vulnerabilità lo stesso giorno e abbiamo iniziato a ruotare tutti i dispositivi potenzialmente esposti credenziali”. DePriest ha successivamente affermato che, dalle indagini interne, è emerso che tale vulnerabilità non era stata precedentemente sfruttata. Sebbene il requisito del ruolo di proprietario dell'organizzazione sia un fattore attenuante significativo e l'impatto della vulnerabilità sia limitato al ricercatore che ha trovato e segnalato il problema tramite il programma Bug Bounty di GitHub, DePriest afferma che le credenziali sono state comunque ruotate in base alle procedure di sicurezza e “per una maggiore attenzione”.

La maggior parte delle chiavi ruotate a dicembre non richiedano alcuna azione da parte degli utenti. Tuttavia, coloro che utilizzano la chiave di firma del commit di GitHub e GitHub Actions, GitHub Codespaces e le chiavi di crittografia del client Dependabot dovranno importare le nuove chiavi pubbliche. Come ricorda ancora DePriest: “Raccomandiamo vivamente di estrarre regolarmente le chiavi pubbliche dall'API per assicurarti di utilizzare i dati più aggiornati da GitHub. Ciò consentirà anche l'adozione senza interruzioni di nuove chiavi in ​​futuro”. Oltre alla rotazione delle chiavi GitHub ha inoltre risolto una seconda vulnerabilità di tipo command injection di Enterprise Server di elevata gravità (CVE-2024-0507). Tale bug avrebbe consentito agli aggressori che utilizzavano un account utente della console di gestione con un ruolo di editor di aumentare i privilegi.