VENAFI commente l’affaire GitHub
janvier 2024 par Kevin Bocek VP security strategy and threat intelligence, Venafi
GitHub a récemment corrigé une vulnérabilité signalée via son programme de « primes aux bugs ». Kevin Bocek, VP Ecosystem and Community chez Venafi commente le sujet et souligne l’importance de la gestion appropriée des clés et des identités machine sur des plateformes comme GitHub.
GitHub a récemment corrigé une vulnérabilité signalée via son programme de « primes aux bugs ». La faille permettait aux acteurs malveillants d’accéder aux variables d’environnement d’un conteneur de production, y compris les informations d’identification. Cependant, l’exploitation réussie de cette vulnérabilité nécessitait une authentification avec un rôle de propriétaire d’organisation, limitant ainsi son impact aux chercheurs du programme de primes aux bogues. GitHub a rapidement corrigé la vulnérabilité et a commencé à faire tourner toutes les informations d’identification potentiellement exposées. Bien que la plupart des clés tournées n’aient pas nécessité d’action de la part des clients, ceux utilisant certaines fonctionnalités spécifiques devront importer de nouvelles clés publiques.
« GitHub doit examiner de plus près la façon dont il gère ses clés, car une exposition de ce genre - aussi brève soit-elle - pourrait avoir de graves ramifications compte tenu du haut niveau de privilège accordé à ces identités machine. Ces identités machines critiques sont incroyablement puissantes et sont utilisées partout, mais elles sont également mal comprises et mal gérées, ce qui en fait une cible de choix pour les attaquants. Heureusement, GitHub a réagi rapidement pour faire pivoter les identités machine impactées une fois qu’il a été alerté du problème et s’est rendu compte qu’il pourrait être vulnérable aux attaques. Et heureusement, il ne semble pas qu’ils aient été abusés non plus. Mais si un attaquant avait saisi cette opportunité, cela lui aurait donné une arme très puissante, qui lui aurait permis de se propager dans les réseaux clients de GitHub, d’espionner les connexions des utilisateurs et d’accéder à l’infrastructure de GitHub, tout en paraissant tout à fait digne de confiance. Dans un monde piloté par les machines, disposer d’un plan de contrôle pour gérer le cycle de vie des identités machines est essentiel. Comme le montre cet incident, vous pouvez vous retrouver exposé très rapidement et, s’il n’est pas traité rapidement, de graves répercussions s’ensuivront. »