GitHubは、12月のサービス障害は重大度の高いバグの発見後に認証情報をローテーションしたことが原因だったと明らかにし、一部の顧客は安全を維持するために追加の対応が必要になる可能性があると警告した。
人気の開発者向けプラットフォームである同社は、12月26日にバグバウンティプログラムを通じて脆弱性の報告を受け、同日中に修正したと述べた。このバグにより、脅威アクターが本番コンテナ内の認証情報にアクセスできた可能性がある。
マイクロソフト傘下の同社は、念のため、露出した可能性のある認証情報をすべてローテーションし始めたが、これにより生じた可能性のある障害について謝罪した。
「本番システム全体で認証情報をローテーションしたことで、12月27日から29日にかけて複数のサービス障害が発生しました」と副CSOのJacob DePriestは述べた。「GitHubに依存しているお客様に与えた影響を認識しており、今後、予期しないダウンタイムのリスクを低減するため、認証情報ローテーション手順を改善しました。」
GitHubのセキュリティに関する詳細: セキュリティ専門家がIT部門にGitHubサービスのロックダウンを促す
しかし、キーのローテーション作業は1月16日にも継続され、「追加の対応が必要になる可能性がある」と同氏は説明した。
これは、GitHubのコミット署名キー、およびGitHub Actions、GitHub Codespaces、Dependabotの暗号化キーを使用している顧客に影響すると、DePriestは述べた。
「GitHubから最新のデータを使用していることを確認するため、APIから公開鍵を定期的に取得することを強く推奨します。これにより、将来的に新しいキーをスムーズに採用できるようにもなります」と同氏は付け加えた。
また本日、GitHubは、同じ12月の脆弱性の一種をGitHub Enterprise Server(GHES)で修正する更新プログラムを公開し、顧客に適用を促している。
「悪用には、組織オーナー権限を持つ認証済みユーザーがGHESインスタンス上のアカウントにログインしている必要があり、潜在的な悪用に対しては大きな緩和要因となる状況が揃っている必要があります」とDePriestは述べた。「本日(2024年1月16日)、GHESバージョン3.8.13、3.9.8、3.10.5、3.11.3向けのパッチを提供します。」
Reco.AIの共同創業者であるGal Nakashは、攻撃対象領域を最小化するには、アカウントとアクセス制御の継続的な監視が重要だと主張した。
「多要素認証(MFA)は、不正なアカウントアクセスに対する防御を強化できます。攻撃者は常に隙を探しているため、組織は定期的な監査と予防的なメンテナンスで警戒を怠らない必要があります」と同氏は付け加えた。
「真の防御のためには、すべての監査ログがセキュリティ情報・イベント管理(SIEM)システムにシームレスに統合されていること、そして適切な検知ルールを実装していることを確実にする必要があります。」
翻訳元: https://www.infosecurity-magazine.com/news/github-rotates-credentials-patches/
