GitHub emitió una advertencia urgente a los usuarios de sus aplicaciones de edición de texto Atom y Desktop para Mac después de que un actor no autorizado irrumpiera en sus sistemas y robara dos certificados de firma de código DigiCert encriptados utilizados para Windows y un certificado de ID de desarrollador de Apple, que podría haber dado darles acceso a algunos de sus repositorios de planificación de desarrollo y lanzamiento.
Aparentemente, GitHub se dio cuenta del ataque el 7 de diciembre de 2022, pero esperó casi dos meses para hacerlo público en espera de una investigación exhaustiva, que como resultado no encontró “ningún riesgo” para los servicios de GitHub y no se realizaron cambios no autorizados.
“El 6 de diciembre de 2022, los repositorios de Atom, Desktop y otras organizaciones obsoletas propiedad de GitHub fueron clonados por un token de acceso personal (PAT) comprometido asociado con una cuenta de máquina”, dijo la organización en un comunicado.
“Una vez detectado el 7 de diciembre de 2022, nuestro equipo revocó de inmediato las credenciales comprometidas y comenzó a investigar el impacto potencial para los clientes y los sistemas internos. Ninguno de los repositorios afectados contenía datos de clientes.
“Sin embargo, varios certificados de firma de código cifrados se almacenaron en estos repositorios para su uso a través de Acciones en nuestros flujos de trabajo de lanzamiento de GitHub Desktop y Atom. No tenemos evidencia de que el actor de amenazas haya podido descifrar o usar estos certificados”.
Como medida preventiva, se estarán revocando los certificados expuestos utilizados, lo que invalidará varias versiones de GitHub Desktop y Atom.
Como tal, los usuarios de Mac de Desktop versiones 3.1.2, 3.1.1, 3.1.0, 3.0.8, 3.0.7, 3.0.6, 3.0.5, 3.0.4, 3.0.3 y 3.0.2 deben actualizar antes de 2 de febrero de 2023: no hay impacto para los usuarios de Windows. Mientras tanto, las versiones 1.63.1 y 1.63.0 de Atom también dejarán de funcionar el 2 de febrero; para seguir usándolo, los usuarios deberán volver a una versión anterior.
En este punto, dijo GitHub, ambos certificados de DigiCert habrán caducado y, como tales, no se podrían haber usado para firmar código de todos modos, pero el certificado de Apple conserva su validez hasta 2027, por lo que GitHub ha estado trabajando con Apple para monitorear cualquier ejecutable firmado con hasta que sea revocado.
Los certificados de firma de código, como los tres robados en diciembre, son importantes porque prueban que el código fue escrito por un autor mencionado. Si bien su robo no pone en riesgo las instalaciones existentes de Desktop y Atom, si el ladrón pudiera descifrarlas, podría comenzar a firmar sus propias aplicaciones, como malware, con estos certificados y demostrar que eran aplicaciones oficiales de GitHub.
“La seguridad y la confiabilidad de GitHub y el ecosistema de desarrolladores más amplio es nuestra máxima prioridad. Recomendamos a los usuarios que tomen medidas sobre las recomendaciones anteriores para continuar usando GitHub Desktop y Atom”, dijo la organización.
Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas del especialista en gestión de identidad de máquinas Venafi, comentó: “GitHub es muy valioso para los desarrolladores: más de 100 millones de desarrolladores usan la plataforma, y Fortune 500 y todos los principales desarrolladores de software, desde Microsoft hasta Google. confía en eso. No sorprende que también se haya convertido en un punto de enfoque para los atacantes.
“En las manos equivocadas, estas identidades de máquinas podrían usarse para hacerse pasar por confiables, lo que permitiría que un atacante firme y envíe contenido malicioso que será autenticado por otras máquinas como proveniente de GitHub. Esta es el arma poderosa que puede permitir ataques en la cadena de suministro a otros desarrolladores de software y posibles ataques posteriores (o pasados) desconocidos”.
Bocek dijo que la experiencia de GitHub demostró cuán fácil e inconscientemente los equipos de ingeniería que se mueven rápidamente pueden abrir nuevas oportunidades de ataque, y enfatizó que este incidente en particular mostró cómo la administración de identidades de máquinas se está volviendo imprescindible.
“Las identidades de las máquinas de firma de códigos no se pueden dejar desprotegidas con una observación y un control constantes; la capacidad de encontrar y volver a emitir rápidamente las identidades de las máquinas es imposible de hacer manualmente”, dijo.
“Para protegerse contra eventos como estos, que son cada vez más comunes, los equipos de ingeniería de seguridad deben implementar un plano de control para automatizar la gestión de identidad de las máquinas. Al hacerlo, protegen continuamente las identidades de las máquinas contra el robo y evitan la rotación, el reemplazo y la revocación manuales que ralentizan a los equipos de ingeniería y conducen a atajos que crean brechas”.
El vicepresidente senior de Sectigo, Jason Soroko, agregó: “La automatización de la gestión del ciclo de vida de los certificados, incluida la revocación, es clave. Los ejecutivos carecen de visibilidad para gobernar adecuadamente los certificados en su empresa. Cuando los certificados se administran y configuran manualmente, pueden pasar desapercibidos, dejando a las empresas vulnerables a interrupciones o ataques cibernéticos. Una plataforma automatizada de gestión del ciclo de vida de certificados (CLM) garantiza que los certificados se renueven o revoquen cuando sea necesario, evitando la pérdida de ingresos y reputación”.