GitHub hat einen privaten SSH-Schlüssel rotieren müssen, nachdem er versehentlich in einem öffentlichen Repository veröffentlicht wurde. Das Unternehmen muss sich genauer ansehen, wie es seine SSH-Schlüssel verwaltet, da eine Aufdeckung dieser Art – egal wie kurz – angesichts des hohen Maßes an Privilegien, die diese Maschinenidentitäten genießen, schwerwiegende Folgen haben könnte.
Diese kritischen Maschinenidentitäten sind unglaublich leistungsfähig und werden überall verwendet, aber sie werden auch schlecht verstanden und verwaltet, was sie zu einem bevorzugten Ziel für Angreifer macht. Im Gegensatz zu anderen Maschinenidentitäten wie TLS, laufen SSH-Schlüssel nicht ab. Das bedeutet, dass eine kompromittierte Identität für lange Zeit – Monate oder sogar Jahre – missbraucht werden kann, ohne dass eine Organisation davon erfährt.
Glücklicherweise hat GitHub schnell reagiert und die betroffenen Maschinenidentitäten rotieren lassen, als es bemerkte, dass der private SSH-Schlüssel versehentlich in einem öffentlichen Repository veröffentlicht worden war. Zum Glück scheint es nicht so, als ob sie missbraucht worden wären. Hätte jedoch ein Angreifer diese Gelegenheit genutzt, wäre ihm ein sehr mächtiges Werkzeug in die Hände gefallen. Mit ihrer Hilfe hätte er sich in den Kundennetzwerken von GitHub ausbreiten, die Verbindungen der Nutzer abhören und auch auf die Infrastruktur von GitHub zugreifen können. Und dies auf einer völlig legitimen Weise. In einer maschinengesteuerten Welt ist eine Kontrollebene zur Verwaltung des Lebenszyklus von Maschinenidentitäten unerlässlich. Wie dieser Vorfall zeigt, kann man sehr schnell angreifbar werden, und wenn nicht schnell gehandelt wird, hat das ernsthafte Auswirkungen.
In der Vergangenheit musste GitHub Maschinenidentitäten widerrufen nachdem öffentlich wurden, dass sie von Unbekannten gestohlen wurden, wie BleepingComputer berichtete.