GitHub ha recentemente rivelato di aver ruotato alcune chiavi in risposta a una vulnerabilità di sicurezza che potenzialmente poteva essere sfruttata per ottenere l’accesso alle credenziali all’interno di un contenitore di produzione. La filiale di Microsoft ha affermato di essere stata informata del problema il 26 dicembre 2023 e di aver affrontato la questione lo stesso giorno, oltre a ruotare tutte le credenziali potenzialmente esposte per eccesso di cautela.
Chiavi Ruotate e Impatto
Le chiavi ruotate includono la chiave di firma dei commit di GitHub, nonché GitHub Actions, GitHub Codespaces e le chiavi di crittografia dei clienti di Dependabot, richiedendo agli utenti che si affidano a queste chiavi di importare le nuove.
Non ci sono prove che la vulnerabilità di alta gravità, tracciata come CVE-2024-0200 (punteggio CVSS: 7.2), sia stata precedentemente scoperta e sfruttata in the wild.
Altre Misure di Sicurezza da GitHub
GitHub ha inoltre affrontato un altro bug di alta gravità tracciato come CVE-2024-0507 (punteggio CVSS: 6.5), che potrebbe consentire a un attaccante con accesso a un account utente della Console di Gestione con il ruolo di editore di elevare i privilegi tramite l’iniezione di comandi.
Questo sviluppo avviene quasi un anno dopo che l’azienda ha sostituito la sua chiave host SSH RSA utilizzata per proteggere le operazioni Git “per eccesso di cautela” dopo che era stata brevemente esposta in un repository pubblico.