Οι υπάλληλοι του GitHub διόρθωσαν μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα σε λιγότερο από έξι ώρες τον περασμένο μήνα. Η Wiz Research χρησιμοποίησε μοντέλα AI για να αποκαλύψει μια ευπάθεια στην εσωτερική υποδομή του GitHub που θα μπορούσε να έχει επιτρέψει στους εισβολείς να έχουν πρόσβαση σε εκατομμύρια δημόσιους και ιδιωτικούς χώρους αποθήκευσης κώδικα.
“Η ομάδα ασφαλείας μας άρχισε αμέσως την επικύρωση της αναφοράς bounty bug. Μέσα σε 40 λεπτά, αναπαράγαμε την ευπάθεια εσωτερικά και επιβεβαιώσαμε τη σοβαρότητά της”, εξηγεί ο Alexis Wells, επικεφαλής της ασφάλειας πληροφοριών του GitHub. «Αυτό ήταν ένα κρίσιμο ζήτημα που απαιτούσε άμεση δράση».
Η ομάδα μηχανικών του GitHub ανέπτυξε και ανέπτυξε μια επιδιόρθωση λίγο περισσότερο από μία ώρα μετά τον εντοπισμό της βασικής αιτίας, προστατεύοντας τόσο το GitHub.com όσο και το GitHub Enterprise Server. «Σε λιγότερο από δύο ώρες, μπορέσαμε να επικυρώσουμε το αποτέλεσμα, δημοσιεύσαμε μια επιδιόρθωση στο github.com και ξεκινήσαμε μια ιατροδικαστική έρευνα που κατέληξε στο συμπέρασμα ότι δεν υπήρχε εκμετάλλευση», λέει ο Wells. Αυτό σημαίνει ότι το πρόβλημα επιλύθηκε εντός έξι ωρών από την αναφορά του Wiz.
Η ίδια η ευπάθεια ανακαλύφθηκε «χρησιμοποιώντας τεχνητή νοημοσύνη», σύμφωνα με τον Wiese. Ωστόσο, δεν είναι σαφές ακριβώς ποιο μοντέλο AI βοήθησε στην ανακάλυψη του προβλήματος. «Είναι αξιοσημείωτο ότι πρόκειται για ένα από τα πρώτα κρίσιμα τρωτά σημεία που ανακαλύφθηκαν σε δυαδικά αρχεία κλειστού κώδικα που χρησιμοποιούν AI, υπογραμμίζοντας τη μετατόπιση στον τρόπο αναγνώρισης αυτών των ελαττωμάτων», λέει ο Sagi Tzadik, ερευνητής ασφαλείας στο Wiz.
Ενώ η γρήγορη απόκριση του GitHub σήμαινε ότι η επιδιόρθωση αναπτύχθηκε εντός λίγων ωρών, η Wiz προειδοποιεί ότι η σπάνια ευπάθεια ήταν «εξαιρετικά εύκολη στην εκμετάλλευση», παρά την πολυπλοκότητα της πλατφόρμας του GitHub. «Είναι σπάνιο να βρεις κάτι τέτοιου επιπέδου και σοβαρότητας, με αποτέλεσμα ένα από τα υψηλότερα διαθέσιμα μπόνους στο πρόγραμμα Bug Bounty και χρησιμεύει ως υπενθύμιση ότι η πιο αποτελεσματική έρευνα ασφάλειας προέρχεται από ειδικευμένους ερευνητές που ξέρουν πώς να κάνουν τις σωστές ερωτήσεις», λέει ο Wells.
Η ανακάλυψη μιας σημαντικής ευπάθειας στο GitHub έρχεται λίγες μέρες αφότου το GitHub υπέστη σημαντική διακοπή λειτουργίας που επανέφερε τυχαία προηγούμενα συγχωνευμένα commit (στιγμιότυπα κώδικα) για ορισμένους χρήστες. Το GitHub είχε επίσης άλλες διακοπές την περασμένη εβδομάδα, κάτι που γίνεται μια αυξανόμενη τάση για την υπηρεσία. Την περασμένη εβδομάδα ανέφερα τις ανησυχίες των εργαζομένων σχετικά με την αξιοπιστία του GitHub, τονίζοντας έναν υπάλληλο του GitHub που είπε “η εταιρεία καταρρέει, είτε σε πολύ κακές διακοπές που έχουν κάψει τη φήμη της εταιρείας… είτε με την αποχώρηση της ηγεσίας.”
Σύνδεσμος πηγής: www.theverge.com