Bleeping Computer 网站披露,GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥,漏洞被追踪为 CVE-2024-0200,不仅允许威胁攻击者在未打补丁的服务器上远程执行代码,还支持威胁攻击者访问生产容器的环境变量(包括凭据)。
近期,GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补,GitHub 方面敦促所有客户应尽快安装安全更新,以避免遭受网络安全威胁。
值得一提的是,针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并,如果想要成功利用漏洞,威胁攻击者需要使用组织所有者角色(具有组织的管理员访问权限)进行身份验证。
Github 副总裁兼副首席安全官 Jacob DePriest 表示,2023 年 12 月 26 日,GitHub 通过 Bug 赏金计划收到一份安全报告,其中显示了一个安全漏洞,如果一旦成功利用该漏洞,便可以轻松访问生产容器中的凭据。事发当天,公司就组织了安全研究人员在 GitHub.com 上修复了漏洞,并开始轮换所有可能暴露的凭证。
在进行了全面调查后,根据漏洞问题的独特性以及对内部的遥测和日志记录的分析,公司研究人员有信心地认为 CVE-2024-0200 漏洞没有被威胁攻击者发现和利用过。DePriest 还强调,根据安全程序且出于谨慎考虑,公司对凭证进行了轮换,并强烈建议用户定期从 API 中提取公钥,以确保使用的是来自 GitHub 的最新数据。
此外,尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作,但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。
近期,GitHub 似乎很不”健康“,接连爆出多个安全漏洞。前段时间,GitHub 方面修复了一个高严重性企业服务器命令注入漏洞(CVE-2024-0507),该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。
2023 年 3 月,GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 "短暂 "暴露了一段时间,影响了使用 RSA 通过 SSH 进行的 Git 操作,之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。
2022 年 12 月,威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后,窃取了大量敏感数据,迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。
参考文章:
https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/