Recente vulnerabilità Github

Recente vulnerabilità Github

L’Exploit SAML che potrebbe far crollare GitHub: cosa devi sapere su CVE-2024-6800

SingCERT ha segnalato la vulnerabilità CVE-2024-6800 in GitHub Enterprise Server (GHES), una falla critica che consente agli aggressori di ottenere accesso e controllo non autorizzati.

Punti chiave
CVE-2024-6800 è una grave falla di sicurezza scoperta in GitHub Enterprise Server (GHES), che potrebbe consentire l’accesso non autorizzato e il controllo su sistemi sensibili sfruttando il wrapping della firma XML e le risposte SAML contraffatte.
La vulnerabilità riguarda tutte le versioni di GHES precedenti alla 3.14, escluse le versioni 3.13.3, 3.12.8, 3.11.14 e 3.10.16, il che indica che molte installazioni potrebbero essere a rischio.
Sfruttando questa vulnerabilità, gli aggressori possono ottenere accesso non autorizzato alle istanze di GHES, potendo così visualizzare, modificare o eliminare codice sorgente critico e dati sensibili, compromettendo potenzialmente intere catene di fornitura.
Le istanze GHES sono spesso accessibili tramite Internet, il che amplia la superficie di attacco e aumenta la probabilità di sfruttamento, evidenziando la necessità di un’azione immediata.
GitHub ha rilasciato aggiornamenti di sicurezza critici per affrontare CVE-2024-6800. Si consiglia vivamente alle organizzazioni di eseguire l’aggiornamento all’ultima versione di GHES per applicare patch essenziali e proteggere i propri sistemi.
La versione 3.13.3 di GHES include correzioni per CVE-2024-6800 e ulteriori miglioramenti della sicurezza, affrontando sia le vulnerabilità critiche che quelle di media gravità e migliorando la sicurezza complessiva del sistema.
L’aggiornamento introduce anche nuove funzionalità, come strumenti diagnostici migliorati e potenziamenti nella gestione della configurazione, che aiutano a gestire e risolvere meglio i problemi delle istanze GHES.

Panoramica
Il Weekly Vulnerability Intelligence Report di Cyble Research & Intelligence Labs (CRIL) ha recentemente rivelato difetti critici con il potenziale di avere un impatto sulle principali piattaforme tecnologiche. Tra i più preoccupanti c’è un problema di sicurezza che riguarda GitHub Enterprise Server (GHES). La vulnerabilità, identificata come CVE-2024-6800, pone dei rischi per le organizzazioni che utilizzano GHES, consentendo potenzialmente l’accesso e il controllo non autorizzati su sistemi sensibili.

Il 22 agosto 2024, la Cyber ​​Security Agency of Singapore (SingCERT) ha rilasciato un avviso su CVE-2024-6800 , una vulnerabilità critica nel GitHub Enterprise Server (GHES). GHES è una versione self-hosted di GitHub, pensata su misura per le organizzazioni che necessitano di una piattaforma sicura e personalizzabile per gestire il codice sorgente e facilitare la collaborazione tra i team di sviluppo.

CVE-2024-6800 è una vulnerabilità di wrapping della firma XML che colpisce GHES. Questa falla consente ad aggressori non autenticati di sfruttare le risposte Security Assertion Markup Language (SAML) per ottenere un accesso non autorizzato. Forgiando una risposta SAML, un aggressore potrebbe fornire e accedere ad account utente con privilegi di amministratore del sito.

Decodifica della vulnerabilità di GitHub Enterprise Server
La vulnerabilità CVE-2024-6800 riguarda tutte le versioni di GitHub Enterprise Server (GHES) precedenti alla 3.14, ad eccezione delle versioni 3.13.3, 3.12.8, 3.11.14 e 3.10.16. Questa ampia gamma di versioni interessate implica che un numero significativo di installazioni di GHES è a rischio.

L’impatto di CVE-2024-6800 è sostanziale, in particolare perché GHES è fondamentale per la gestione del codice sorgente di applicazioni critiche. Sfruttare questa vulnerabilità potrebbe portare ad accessi non autorizzati, consentendo agli aggressori di aggirare l’autenticazione e ottenere accesso illimitato alle istanze GHES.

Questo accesso potrebbe consentire loro di visualizzare, modificare o eliminare codice sorgente sensibile e altri dati importanti. Inoltre, con privilegi di amministratore, gli aggressori potrebbero manipolare codice o configurazioni, compromettendo potenzialmente l’intera supply chain e portando a violazioni della sicurezza più ampie che interessano sistemi e utenti downstream.

L’esposizione della vulnerabilità è aggravata dal fatto che le istanze GHES sono spesso accessibili tramite Internet. Questa ampia superficie di attacco aumenta il rischio di sfruttamento, evidenziando la necessità per le organizzazioni di mitigare rapidamente la minaccia.

Mitigazione e raccomandazioni
Per affrontare la vulnerabilità critica CVE-2024-6800, GitHub ha rilasciato aggiornamenti di sicurezza essenziali per GitHub Enterprise Server (GHES). Le organizzazioni che utilizzano GHES sono fortemente incoraggiate a implementare misure immediate per mitigare i rischi associati a questa vulnerabilità.

Gli amministratori dovrebbero aggiornare tempestivamente all’ultima versione di GHES, che include patch cruciali progettate per risolvere il problema di wrapping della firma XML. Ciò proteggerà le istanze di GHES da potenziali attacchi informatici .

Le organizzazioni dovrebbero anche rivedere le proprie policy di sicurezza e monitorare attivamente i propri sistemi per qualsiasi attività sospetta che potrebbe indicare tentativi di sfruttare la vulnerabilità. Garantire che i controlli di accesso siano configurati correttamente e regolarmente rivisti aiuterà a prevenire l’accesso non autorizzato.

Inoltre, l’aggiornamento di sicurezza che affronta CVE-2024-6800 è incluso nella versione 3.13.3 di GHES. Questa versione non solo affronta la vulnerabilità critica, ma introduce anche diversi miglioramenti e correzioni. I principali miglioramenti di sicurezza in questo aggiornamento includono una correzione specifica per CVE-2024-6800, che risolve la vulnerabilità di wrapping della firma XML bloccando l’accesso non autorizzato tramite risposte SAML contraffatte. Inoltre, l’aggiornamento affronta diverse vulnerabilità di media gravità che interessano sia i repository pubblici che privati, contribuendo a migliorare la sicurezza complessiva.

La versione 3.13.3 di GHES porta anche nuove funzionalità e miglioramenti. Include strumenti diagnostici migliorati che consentono agli utenti di visualizzare gli stati delle app per gist, reti e wiki, e il comando spokesctl check ora diagnostica e risolve i problemi con reti di repository vuote. Gli strumenti di configurazione sono stati migliorati per una migliore gestione e diagnostica, inclusi miglioramenti al processo ghe-config-apply e una gestione più efficace dei log di configurazione.

L’aggiornamento risolve vari bug che influenzano la stabilità del sistema e l’esperienza utente. Risolve problemi relativi a esecuzioni di configurazione, connessioni non necessarie e guasti negli aggiornamenti di Dependency Graph. Contiene anche miglioramenti dell’esperienza utente, tra cui correzioni per problemi con GitHub Actions, processi di backup e ripristino e gestione delle istanze.

Conclusione
CVE-2024-6800 rappresenta una sfida per le organizzazioni che utilizzano GitHub Enterprise Server. Il difetto di wrapping della firma XML pone seri rischi, tra cui accesso non autorizzato e sistemi compromessi. Le organizzazioni dovrebbero eseguire l’aggiornamento alla versione GHES 3.13.3 per risolvere questa vulnerabilità e sfruttare i più recenti miglioramenti della sicurezza.

Aggiornamenti regolari e monitoraggio proattivo sono essenziali per proteggere gli ambienti di sviluppo da potenziali minacce. Per ulteriori dettagli sull’aggiornamento e per accedere alle ultime patch di sicurezza, le organizzazioni devono fare riferimento alla documentazione ufficiale di GitHub e seguire le azioni consigliate.

(fonte)

Innovaformazione, scuola informatica specialistica segue costantemente il mercato IT e promuove l’aggiornamento continuo di sviluppatori e DevOps. I corsi principai in tematica di sicurezza nello sviluppo software (per aziende) sono:

Corso OWASP sicurezza web app

Corso DevSecOps

INFO: info@innovaformazione.net – tel. 3471012275 (Dario Carrassi)

Per altri articoli di settore potete visionare il nostro blog QUI.