GitHub หมุนเวียนคีย์หลังจากช่องโหว่ที่มีความรุนแรงสูงเปิดเผยข้อมูลประจำตัว
2024.01.18
GitHub หมุนเวียนคีย์หลังจากช่องโหว่ที่มีความรุนแรงสูงเปิดเผยข้อมูลประจำตัว
GitHub ได้เปิดเผยว่าได้หมุนเวียนคีย์บางตัวเพื่อตอบสนองต่อช่องโหว่ด้านความปลอดภัยที่อาจนำไปใช้ประโยชน์เพื่อเข้าถึงข้อมูลประจำตัวภายในคอนเทนเนอร์ที่ใช้งานจริง
บริษัทในเครือของ Microsoft กล่าวว่าได้รับทราบปัญหาแล้วเมื่อวันที่ 26 ธันวาคม 2023 และได้แก้ไขปัญหาดังกล่าวในวันเดียวกัน นอกเหนือจากการหมุนเวียนข้อมูลรับรองที่อาจเปิดเผยทั้งหมดโดยใช้ความระมัดระวังอย่างยิ่ง
คีย์ที่หมุนเวียนประกอบด้วยคีย์การลงนาม GitHub เช่นเดียวกับ GitHub Actions, GitHub Codespaces และคีย์การเข้ารหัสลูกค้า Dependabot ซึ่งจำเป็นต้องมีผู้ใช้ที่ต้องอาศัยคีย์เหล่านี้เพื่อนำเข้าคีย์ใหม่
ไม่มีหลักฐานว่าช่องโหว่ที่มีความรุนแรงสูง ซึ่งติดตามใน CVE-2024-0200 (คะแนน CVSS: 7.2) ได้รับการ เคยพบและใช้ประโยชน์ในป่า
“ช่องโหว่นี้มีอยู่บน GitHub Enterprise Server (GHES) ด้วย” Jacob DePriest จาก GitHub กล่าว “อย่างไรก็ตาม การใช้ประโยชน์ต้องใช้ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ซึ่งมี บทบาทเจ้าขององค์กร เพื่อเข้าสู่ระบบบัญชีบนอินสแตนซ์ GHES ซึ่งเป็นชุดสำคัญของการบรรเทาผลกระทบ สถานการณ์ที่อาจเกิดการแสวงหาผลประโยชน์”
ใน คำแนะนำแยกต่างหาก GitHub ระบุลักษณะช่องโหว่ว่าเป็นกรณีของ “การสะท้อนกลับที่ไม่ปลอดภัย” GHES ที่อาจนำไปสู่การสะท้อนกลับและการเรียกใช้โค้ดจากระยะไกล มีแพตช์ใน GHES เวอร์ชัน 3.8.13, 3.9.8, 3.10.5 และ 3.11.3 แล้ว
แก้ไขโดย GitHub ยังเป็นข้อบกพร่องที่มีความรุนแรงสูงอีกประการหนึ่งที่ถูกติดตามใน CVE-2024-0507 (คะแนน CVSS: 6.5) ซึ่งอาจอนุญาต ผู้โจมตีที่สามารถเข้าถึงบัญชีผู้ใช้คอนโซลการจัดการที่มีบทบาทแก้ไขเพื่อเพิ่มสิทธิ์ผ่านการแทรกคำสั่ง
การพัฒนาเกิดขึ้นเกือบหนึ่งปีหลังจากที่บริษัทดำเนินการ แทนที่คีย์โฮสต์ RSA SSH ที่ใช้เพื่อรักษาความปลอดภัยการดำเนินงาน Git “ออก ของความระมัดระวังมากมาย” หลังจากที่เปิดเผยในพื้นที่เก็บข้อมูลสาธารณะเป็นเวลาสั้นๆ
Reference : https://thehackernews.com/2024/01/github-rotates-keys-after-high-severity.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
Oracle แจ้งลูกค้าหลังเกิดเหตุ Data Breach ทำให้ข้อมูลหลุดจากระบบ Cloud
2025.04.10
ข่าว
ความปลอดภัย
มัลแวร์มือถือที่กำหนดเป้าหมายธนาคารในอินเดียทำให้ผู้ใช้กว่า 50,000 รายเสี่ยงต่อการถูกโจมตี
การโจมตีอุปกรณ์เคลื่อนที่ขนาดใหญ่ นักวิจัยของ zLabs วิเคราะห์ตัวอย่างมัลแวร์เกือบ 900 ตัวอย่างและพบความพยายามร่วมกันในการใช้ประโยชน์จากอุปกรณ์ Android มัลแวร์ซึ่งจัดอยู่ในประเภทโทรจันของธนาคาร ปลอมตัวเป็นแอปธนาคารหรือแอปของรัฐบาลที่ถูกกฎหมายและแพร่กระจายผ่าน WhatsApp ในรูปแบบไฟล์ APK เมื่อติดตั้งแล้ว มัลแวร์จะขอข้อมูลที่ละเอียดอ่อน
2025.03.14
ข่าว
ความปลอดภัย
แฮกเกอร์ชาวเกาหลีเหนือตั้งเป้านักพัฒนาอิสระเพื่อหลอกลวงการทำงานด้วยมัลแวร์
นักพัฒนาซอฟต์แวร์อิสระเป็นเป้าหมายของแคมเปญต่อเนื่องที่ใช้การล่อใจที่เกี่ยวข้องกับการสัมภาษณ์งานเพื่อส่งมอบมัลแวร์ข้ามแพลตฟอร์มที่รู้จักกันในชื่อ BeaverTail และ InvisibleFerret กิจกรรมดังกล่าวซึ่งเชื่อมโยงกับเกาหลีเหนือมีชื่อรหัสว่า DeceptiveDevelopment ซึ่งทับซ้อนกับคลัสเตอร์ที่ติดตามภายใต้ชื่อContagious Interview (หรือCL-STA-0240 ), DEV#POPPER, Famous Chollima, PurpleBravo และ Tenacious Pungsan แคมเปญนี้ดำเนินไปอย่างต่อเนื่องตั้งแต่ช่วงปลายปี 2023 เป็นอย่างน้อย บริษัทด้านความปลอดภัยทางไซเบอร์ ESET กล่าวในรายงานที่แบ่งปันกับ The Hacker News ว่า"DeceptiveDevelopment กำหนดเป้าหมายนักพัฒนาซอฟต์แวร์อิสระผ่านการฟิชชิ่งแบบเจาะจงบนเว็บไซต์หางานและฟรีแลนซ์ โดยมีเป้าหมายเพื่อขโมยกระเป๋าสตางค์สกุลเงินดิจิทัลและข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์และตัวจัดการรหัสผ่าน"
2025.02.21