Nachdem Github Ende Dezember in einem Bug-Bounty-Report mit einer Schwachstelle konfrontiert wurde, begann das Unternehmen alle potenziell gefährdeten Schlüssel auszutauschen. Die Rotation der Credentials in den Produktionssystemen führte zwischen dem Jahreswechsel dann zu einer Reihe von Serviceunterbrechungen.
Danach wurde das Verfahren verbessert, um weniger Downtime zu verursachen, sollte eine erneute Austauschaktion erforderlich sein, wie das Unternehmen selbst schreibt. Seit Mitte Januar gilt nun der neue Prozess. Wenn GitHub.com-Commits außerhalb von GitHub verifiziert werden, auch zur Verifizierung in GHES, müssen Nutzer den neuen öffentlichen Schlüssel importieren, der von GitHub gehostet wird. Das Unternehmen empfiehlt dringend, den öffentlichen Schlüssel regelmäßig abzurufen, um sicherzustellen, dass die aktuellen Daten von GitHub verwendet werden. Das gewährleistet auch künftig eine nahtlose Übernahme neuer Schlüssel. Weitere Informationen enthält der entsprechende Blog.
Kevin Bocek, VP Ecosystem und Community bei Venafi sagt:
„Die Verantwortlichen bei GitHub müssen sich genauer ansehen, wie sie ihre Schlüssel verwalten, da ein Exploit – egal wie kurz – angesichts des hohen Maßes an Privilegien, mit denen diese Maschinenidentitäten ausgestattet sind, schwerwiegende Auswirkungen haben könnte. Diese kritischen Maschinenidentitäten sind unglaublich leistungsfähig und werden überall verwendet, aber sie werden auch schlecht verstanden und verwaltet. Das macht sie zu einem attraktiven Ziel für Angreifer. Glücklicherweise hat GitHub schnell reagiert und die betroffenen Maschinenidentitäten rotieren lassen, als es auf das Problem aufmerksam wurde und erkannte, dass es anfällig für Angriffe sein könnte. Und zum Glück scheint es auch, als hätte es keinen Missbrauch gegeben. Hätte jedoch ein Angreifer diese Gelegenheit genutzt, hätte er ein sehr mächtiges Werkzeug in der Hand gehabt. Es hätte ihm ermöglicht, sich in den Kundennetzwerken von GitHub auszubreiten, die Verbindungen der Nutzer abzuhören und auch auf die Infrastruktur von GitHub zuzugreifen, während er völlig vertrauenswürdig wirkte. In einer maschinengesteuerten Welt ist eine Kontrollebene zur Verwaltung des Lebenszyklus von Maschinenidentitäten unerlässlich. Wie dieser Vorfall zeigt, können Unternehmen sehr schnell angreifbar werden, was ohne schnelles Handeln gravierende Folgen mit sich bringen kann.“