GitHub是广泛使用的编码和源代码存储库的协作平台,最近响应了2023年12月26日确定的安全漏洞。该公司迅速采取了行动,旋转键,包括GitHub提交签名密钥,GitHub Action,GitHub CodeSpase,github CodeSpace和Disperianabot客户的Encultive Quys,以及作为预处理量度的措施。建议依靠这些密钥的用户导入新的密钥。
安全漏洞,指定为CVE-2024-0200在野外尚未利用高价得分为7.2(CVSS)。 Hacker News报道,GitHub Enterprise Server(GHES)受到影响,但是利用该漏洞需要一个经过身份验证的用户,其组织所有者角色已登录到GHES实例上的帐户,从而限制了剥削的可能性。
Github将GHE中的漏洞描述为“不安全反射”的实例,构成了反射注入和远程代码执行的风险。 GHES版本3.8.13、3.9.8、3.10.5和3.11.3已实现了此问题的修复程序。此外,Github还解决了另一个高度漏洞CVE-2024-0507(CVSS得分:6.5),使攻击者能够访问具有编辑器角色的管理控制台用户帐户,以通过命令注射升级特权。
这项响应迅速的行动是在GitHub的预防性更换其RSA SSH主机钥匙(负责确保GIT操作的负责人)之后,大约一年前在公共存储库中进行了短暂曝光后。这些积极的措施强调了Github对迅速管理安全问题并确保其平台完整性的承诺。
挥之不去的挑战
Github遇到了多个密钥旋转i在过去的一年中,由于暴露或被盗的秘密。值得注意的是,在三月份,该平台在公共存储库短暂接触后旋转了github.com私人SSH钥匙,使用RSA影响了SSH的GIT操作。尽管对公共存储库进行了秘密扫描,但旨在识别暴露的钥匙和机密数据,但这还是发生了。
在2022年12月的另一起事件中,Github不得不撤销其桌面和原子应用程序的代码签名证书。未知的攻击者违反了公司的开发和发布计划存储库后偷走了这些证书。这些事件强调了Github在应对安全挑战和主动管理潜在脆弱性方面的警惕。
黑客利用github
录制的网络安全研究公司未来已经确定了有关高级持久威胁(APT)黑客利用Github来提供恶意软件有效载荷的趋势。网络安全新闻报道说,用户群超过9400万的Github已成为威胁演员利用其API避免检测并获得网络流量的优势。剥削发生在四个主要类别中:有效载荷交付,数据和设备侦察(DDR),完整命令和控制(C2)和过滤。
有效载荷交付主要由网络罪犯和国家赞助的团体(例如Buhtrap和APT37)驱动,这仍然是一个持续关注的问题。 Netskope的2022数据注释GitHub在基于云的恶意软件下载中的7.6%份额。策略涉及存储库中毒,创建伪造的存储库以及采用以感染为中心的方法。
GITHUB上的DDR活动包括使用加密文件中的用户共享URL,域或IP地址。该报告强调了Github对完整C2的使用,并结合了“抽象层”。虽然由于功能限制和暴露问题而较不常见,但GitHub是脱落的代理,尽管不如其他方案频率。这些发现强调了与GitHub等广泛使用的协作编码平台上的网络安全相关的挑战和风险。
