GitHub ha ruotato le chiavi di crittografia in seguito alla scoperta di una vulnerabilità che avrebbe potuto consentire agli attori delle minacce di rubare le credenziali, ha rivelato martedì l’azienda.
L’azienda di proprietà di Microsoft ha dichiarato di essere venuta a conoscenza della falla di sicurezza ad alta gravità, classificata come CVE-2024-0200, il 26 dicembre 2023. Dopo aver indagato sul problema e verificato che non c’erano prove che fosse stato sfruttato in attacchi, GitHub si è mossa rapidamente per ruotare le chiavi potenzialmente esposte lo stesso giorno come misura precauzionale.
Le chiavi ruotate includono la chiave di firma dei commit di GitHub e le chiavi di crittografia dei clienti utilizzate per servizi sensibili come GitHub Actions, GitHub Codespaces e Dependabot. Gli utenti che fanno affidamento su queste chiavi dovranno importare quelle appena generate per evitare potenziali interruzioni.
Sebbene sia preoccupante, la vulnerabilità è mitigata dalla necessità per un attaccante di avere un account utente autenticato con privilegi di proprietario dell’organizzazione connesso all’istanza di GitHub Enterprise Server presa di mira, secondo Jacob DePriest, responsabile della sicurezza di GitHub.
Finora non ci sono prove che la falla sia stata sfruttata al di fuori dei test interni.
GitHub ha dichiarato che la “riflessione non sicura” in GitHub Enterprise Server potrebbe portare all’iniezione di riflessione e, in alcune circostanze, all’esecuzione di codice da remoto. Il problema è stato risolto nelle versioni 3.8.13, 3.9.8, 3.10.5 e 3.11.3 recentemente rilasciate.
Oltre alla rotazione delle chiavi, questa settimana GitHub ha affrontato un’altra vulnerabilità ad alta gravità che avrebbe potuto consentire l’elevazione dei privilegi. Tracciata come CVE-2024-0507, la falla di command injection riguardava solo gli utenti di GitHub Enterprise Server Management Console con privilegi di ruolo di editor.