GitHub ha revelado una vulnerabilidad que permite acceder al contenido de variables de entorno expuestas en contenedores utilizados en la infraestructura de producción. La vulnerabilidad fue descubierta por un participante de Bug Bounty que buscaba una recompensa por encontrar problemas de seguridad. El problema afecta tanto al servicio GitHub.com como a las configuraciones de GitHub Enterprise Server (GHES) que se ejecutan en los sistemas de los usuarios.
El análisis de los registros y la auditoría de la infraestructura no revelaron ningún rastro de explotación de la vulnerabilidad en el pasado, excepto la actividad del investigador que informó del problema. Sin embargo, la infraestructura se inició para reemplazar todas las claves de cifrado y credenciales que podrían verse comprometidas si un atacante explotara la vulnerabilidad. La sustitución de claves internas provocó la interrupción de algunos servicios del 27 al 29 de diciembre. Los administradores de GitHub intentaron tener en cuenta los errores cometidos ayer durante la actualización de las claves que afectan a los clientes.
Entre otras cosas, se actualizó la clave GPG utilizada para firmar digitalmente confirmaciones creadas a través del editor web de GitHub al aceptar solicitudes de extracción en el sitio o mediante el kit de herramientas Codespace. La antigua clave dejó de ser válida el 16 de enero a las 23:23 hora de Moscú y desde ayer se utiliza una nueva clave. A partir del XNUMX de enero, todas las confirmaciones nuevas firmadas con la clave anterior no se marcarán como verificadas en GitHub.
El 16 de enero también se actualizaron las claves públicas utilizadas para cifrar los datos del usuario enviados a través de la API a GitHub Actions, GitHub Codespaces y Dependabot. Se recomienda a los usuarios que utilizan claves públicas propiedad de GitHub para verificar las confirmaciones localmente y cifrar datos en tránsito que se aseguren de haber actualizado sus claves GPG de GitHub para que sus sistemas continúen funcionando después de que se cambien las claves.
GitHub ya solucionó la vulnerabilidad en GitHub.com y lanzó una actualización del producto para GHES 3.8.13, 3.9.8, 3.10.5 y 3.11.3, que incluye una solución para CVE-2024-0200 (uso inseguro de reflejos que conducen a ejecución de código o métodos controlados por el usuario en el lado del servidor). Se podría llevar a cabo un ataque a instalaciones locales de GHES si el atacante tuviera una cuenta con derechos de propietario de la organización.
Fuente: opennet.ru