Os funcionários do GitHub corrigiram uma vulnerabilidade crítica de execução remota de código em menos de seis horas no mês passado. A pesquisa Wiz é usada Modelo de IA para descobrir vulnerabilidades na infraestrutura git interna do GitHub que poderia permitir que invasores acessassem milhões de repositórios de código públicos e privados.
“Nossa equipe de segurança começou imediatamente a validar o relatório de recompensas de bugs. Em 40 minutos, reproduzimos a vulnerabilidade internamente e confirmamos sua gravidade”, explicou Alexis WalesDiretor de segurança da informação do GitHub. “Esta é uma questão crítica que requer ação imediata.”
A equipe de engenharia do GitHub desenvolveu uma correção e a implantou mais de uma hora após identificar a causa raiz, protegendo GitHub.com e GitHub Enterprise Server. “Em menos de duas horas validamos as descobertas, aplicamos uma correção ao github.com e iniciamos uma investigação forense que concluiu que não houve exploração”, disse Wales. Isso significa que o problema foi corrigido seis horas após o relatório de Wiz.
A vulnerabilidade em si foi descoberta “usando IA”, de acordo com Wiz. No entanto, não está claro quais modelos de IA ajudaram a detectar esses problemas. “Notavelmente, esta é uma das primeiras vulnerabilidades críticas descobertas em um binário de código fechado usando IA, destacando uma mudança na forma como essas fraquezas são identificadas”, disse Sagi Tzadik, pesquisador de segurança da Wiz.
Embora a resposta rápida do GitHub signifique que uma correção pode ser implementada em apenas algumas horas, Wiz alerta que esta vulnerabilidade rara é “muito fácil de explorar”, apesar da complexidade dos sistemas subjacentes do GitHub. “Uma descoberta desta magnitude e seriedade é rara e é um dos maiores prêmios disponíveis em nosso programa Bug Bounty, e serve como um lembrete de que a pesquisa de segurança mais impactante vem de pesquisadores qualificados que sabem como fazer as perguntas certas”, disse Wales.
A descoberta da principal vulnerabilidade no GitHub ocorre poucos dias depois que o GitHub sofreu uma grande interrupção que reverteu aleatoriamente commits de mesclagem anteriores (instantâneos de código) para alguns usuários. GitHub também tem um outra interrupção semana passada, que se torna cada vez mais uma tendência para o serviço. Na semana passada, relatei as preocupações dos funcionários em relação à confiabilidade do GitHub, destacando um funcionário do GitHub que disse que “a empresa está desmoronando, tanto por causa das terríveis quedas de energia que prejudicaram a reputação da empresa… quanto por causa do êxodo da liderança”.
