ClickCease Vulnerabilidad de GitHub: Rotación de claves en medio de una amenaza de alta gravedad

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Vulnerabilidad de GitHub: Rotación de claves en medio de una amenaza de alta gravedad

Wajahat Raja

1 de febrero de 2024 - Equipo de expertos TuxCare

En los últimos acontecimientos, GitHub, una filial propiedad de Microsoft, ha tomado medidas proactivas para hacer frente a una vulnerabilidad de seguridad que potencialmente expone las credenciales dentro de los contenedores de producción. En este artículo, analizaremos la vulnerabilidad de GitHub de GitHub, arrojando luz sobre las rotaciones clave y el panorama de seguridad que rodea el problema.

Descubrimiento de vulnerabilidades en GitHub y actuación inmediata

GitHub tuvo conocimiento de la vulnerabilidad el 26 de diciembre de 2023, respondiendo rápidamente ese mismo día para rectificar la situación. La compañía, como medida de precaución, rotó varias claves, incluyendo la clave de firma de commits de GitHub, GitHub Actions, GitHub Codespaces y las claves de cifrado de clientes de Dependabot.

Alcance de la vulnerabilidad de GitHub

La vulnerabilidad identificada, etiquetada como CVE-2024-0200 con una puntuación CVSS de 7,2, no ha mostrado signos de ser explotada en la naturaleza. Jacob DePriest, de GitHub, aclaró que, aunque la vulnerabilidad está presente en el GitHub Enterprise Server (GHES), para explotarla es necesario que un usuario autenticado con un rol de propietario de la organización haya iniciado sesión en una cuenta de la instancia de GHES. Esto mitiga significativamente el potencial de explotación.

Medidas de mitigación contra vulnerabilidades de ejecución remota de código

GitHub clasificó la vulnerabilidad como un caso de "reflexión insegura" en GHES, que puede provocar la inyección de reflexión y la ejecución remota de código. La inyección de código es un problema crítico de ciberseguridad que requiere medidas diligentes para su prevención. Para solucionarlo, se han publicado parches en versiones de GHES 3.8.13, 3.9.8, 3.10.5 y 3.11.3. La empresa ha adoptado una postura proactiva para asegurar sus sistemas contra posibles exploits.

Vulnerabilidad adicional abordada

Paralelamente a la rotación de claves, GitHub abordó otra vulnerabilidad de alta gravedadetiquetada como CVE-2024-0507 con una puntuación CVSS de 6,5. Esta vulnerabilidad podría permitir a un atacante con acceso a una cuenta de usuario de la consola de gestión con el rol de editor escalada de privilegios mediante inyección de comandos.

Medidas de seguridad anteriores de GitHub

Las recientes acciones de GitHub se hacen eco de su compromiso con la seguridad, que recuerda a la sustitución de su clave de host RSA SSH utilizada para proteger las operaciones de Git hace casi un año. La decisión de sustituir la clave se tomó "por un exceso de precaución" tras una breve exposición de credenciales de GitHub en un repositorio público.

Orientación para usuarios de GitHub

GitHub ha publicado una guía para los usuarios, especialmente aquellos que utilizan GitHub Codespaces con la firma de commit activada. Los usuarios que entren en esta categoría y no hayan enviado commits creados antes de 16 de enero del espacio de código al repositorio de GitHub antes del 23 de enero. De no hacerlo, estos commits dejarán de marcarse como verificados a menos que se renuncie a ellos.

Consideraciones clave

Los usuarios que utilicen GitHub Actions, GitHub Codespaces y claves de cifrado Dependabot se les insta a tomar nota de las rotaciones. Aquellos que almacenaron en caché o codificaron las claves públicas relacionadas deben extraer las claves de la API para asegurarse de que tienen las versiones más recientes.

Vigilancia continua

GitHub subraya la importancia de verificar periódicamente los commits de GitHub.com fuera de la plataforma, así como de parcheado de vulnerabilidades. Se recomienda a los usuarios que realicen verificaciones, incluidos los de GHES, que importen la nueva clave pública alojada en GitHub. Se recomienda extraer regularmente la clave pública para garantizar el uso de los datos más actuales de GitHub, facilitando la adopción sin problemas de nuevas claves en el futuro.

Conclusión

En el panorama en constante evolución de la ciberseguridad, incidentes como estos ponen de relieve la importancia de una respuesta rápida y de las mejores prácticas de ciberseguridad. buenas prácticas de ciberseguridad. La rápida actuación de GitHub al rotar las claves y abordar las vulnerabilidades ejemplifica su compromiso con la seguridad de los usuarios. Es esencial que las organizaciones se mantengan vigilantes para obtener información sobre este tipo de acontecimientos, garantizando que los usuarios permanezcan informados y bien protegidos.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y SecurityWeek.

Resumen
Vulnerabilidad de GitHub: Rotación de claves en medio de una amenaza de alta gravedad
Nombre del artículo
Vulnerabilidad de GitHub: Rotación de claves en medio de una amenaza de alta gravedad
Descripción
Descubre lo último en mitigación de vulnerabilidades de GitHub y aprende cómo la rotación de claves protege contra amenazas de alta gravedad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín