Clés pivotées GitHub potentiellement exposées par une vulnérabilité corrigée en décembre qui pourrait permettre aux attaquants d’accéder aux informations d’identification dans les conteneurs de production via des variables d’environnement.
Cette vulnérabilité de réflexion non sécurisée (identifiée comme CVE-2024-0200) peut permettre aux attaquants d’obtenir l’exécution de code à distance sur des serveurs non corrigés.
Il a également été corrigé mardi dans les versions 3.8.13, 3.9.8, 3.10.5 et 3.11.3 de GitHub Enterprise Server (GHES), la société exhortant tous les clients à installer la mise à jour de sécurité dès que possible.
Tout en permettant aux acteurs de la menace d’accéder aux variables d’environnement d’un conteneur de production, y compris les informations d’identification, une exploitation réussie nécessite une authentification avec un rôle de propriétaire d’organisation (avec un accès administrateur à l’organisation).
« Le 26 décembre 2023, GitHub a reçu un rapport via notre programme de primes de bogues démontrant une vulnérabilité qui, si elle était exploitée, permettait d’accéder aux informations d’identification dans un conteneur de production. Nous avons corrigé cette vulnérabilité sur GitHub.com le même jour et a commencé à faire tourner toutes les informations d’identification potentiellement exposées », a déclaré Jacob DePriest, vice-président et directeur adjoint de la sécurité de Github.
« Après avoir mené une enquête complète, nous évaluons avec une grande confiance, sur la base du caractère unique de ce problème et de l’analyse de notre télémétrie et de notre journalisation, que cette vulnérabilité n’a pas été précédemment trouvée et exploitée. »
Bien que l’exigence du rôle de propriétaire de l’organisation soit un facteur atténuant important et que l’impact de la vulnérabilité soit limité au chercheur qui a trouvé et signalé le problème via le programme de primes de bogues de GitHub, DePriest affirme que les informations d’identification ont toujours été alternées conformément aux procédures de sécurité et « par excès de prudence. »
Bien que la plupart des clés pivotées par GitHub en décembre ne nécessitent aucune action du client, ceux qui utilisent la clé de signature de validation de GitHub et les actions GitHub, les espaces de code GitHub et les clés de chiffrement client Dependabot devront importer les nouvelles clés publiques.
»Nous vous recommandons fortement d’extraire régulièrement les clés publiques de l’API pour vous assurer que vous utilisez les données les plus récentes de GitHub. Cela permettra également l’adoption transparente de nouvelles clés à l’avenir », a déclaré DePriest.
GitHub a également corrigé une deuxième vulnérabilité d’injection de commandes Enterprise Server de gravité élevée (CVE-2024-0507) qui permettait aux attaquants utilisant un compte d’utilisateur de la Console de gestion avec un rôle d’éditeur d’augmenter les privilèges.
Ce n’est pas la première fois que l’entreprise doit faire une rotation ou révoquer des secrets exposés ou volés au cours de la dernière année.
Par exemple, il a également fait pivoter son GitHub.com clé SSH privée en mars dernier après avoir été accidentellement et » brièvement » exposée via un référentiel GitHub public, affectant les opérations Git sur SSH à l’aide de RSA.
L’incident s’est produit des semaines après que l’entreprise a commencé à déployer l’analyse des secrets pour tous les référentiels publics, qui auraient dû récupérer la clé exposée car elle prend en charge les clés API, les mots de passe de compte, les jetons d’authentification et d’autres alertes de données confidentielles.
Des mois plus tôt, GitHub avait également dû révoquer les certificats de signature de code pour ses applications de bureau et Atom après que des attaquants inconnus les aient volés après avoir violé les référentiels de planification de développement et de publication de l’entreprise en décembre 2022.