Los empleados de GitHub solucionaron una vulnerabilidad crítica de ejecución remota de código en menos de seis horas el mes pasado. Utiliza la búsqueda de Waze Los modelos de IA descubren una vulnerabilidad en la infraestructura interna de GitHub que podría haber permitido a los atacantes acceder a millones de repositorios de códigos públicos y privados.
«Nuestro equipo de seguridad comenzó inmediatamente a validar el informe de recompensas por errores. En 40 minutos, reproducimos la vulnerabilidad internamente y confirmamos su gravedad». Alexis Wells explicadirector de seguridad de la información en GitHub. «Este era un tema crítico que requería acción inmediata».
El equipo de ingeniería de GitHub desarrolló e implementó una solución poco más de una hora después de identificar la causa raíz, protegiendo tanto a GitHub.com como a GitHub Enterprise Server. «En menos de dos horas, pudimos validar el resultado, publicamos una solución en github.com e iniciamos una investigación forense que concluyó que no hubo explotación», dice Wells. Esto significa que el problema se solucionó dentro de las seis horas posteriores al informe de Wiz.
La vulnerabilidad en sí se descubrió «mediante inteligencia artificial», según Wiese. Sin embargo, no está claro exactamente qué modelo de IA ayudó a descubrir el problema. «Cabe destacar que esta es una de las primeras vulnerabilidades críticas descubiertas en binarios de código cerrado que utilizan IA, lo que destaca el cambio en la forma en que se identifican estas fallas», dice Sagi Tzadik, investigador de seguridad de Wiz.
Si bien la rápida respuesta de GitHub significó que la solución se implementó en apenas unas horas, Wiz advierte que la rara vulnerabilidad era «notablemente fácil de explotar», a pesar de la complejidad de la plataforma de GitHub. «Es raro encontrar algo de este nivel y gravedad, lo que resulta en una de las recompensas más altas disponibles en nuestro programa Bug Bounty, y sirve como recordatorio de que la investigación de seguridad más impactante proviene de investigadores capacitados que saben cómo hacer las preguntas correctas», dice Wells.
El descubrimiento de una vulnerabilidad importante en GitHub se produce pocos días después de que GitHub sufriera una interrupción importante que revirtió aleatoriamente confirmaciones previamente fusionadas (instantáneas de código) para algunos usuarios. GitHub también lo tenía Otras interrupciones la semana pasada, en lo que se está convirtiendo cada vez más en una tendencia para el servicio. La semana pasada informé sobre las preocupaciones de los empleados sobre la confiabilidad de GitHub, destacando a un empleado de GitHub que dijo «la compañía está colapsando, ya sea en interrupciones muy graves que han quemado la reputación de la compañía… o en la salida del liderazgo».
(Etiquetas para traducción)AI