Los empleados de GitHub solucionaron una vulnerabilidad crítica de ejecución remota de código en menos de seis horas el mes pasado. Se utiliza la investigación de Wiz. Modelo de IA para descubrir vulnerabilidades en la infraestructura git interna de GitHub que podrían permitir a los atacantes acceder a millones de repositorios de códigos públicos y privados.
“Nuestro equipo de seguridad comenzó inmediatamente a validar el informe de recompensas por errores. En 40 minutos, reproducimos la vulnerabilidad internamente y confirmamos su gravedad”. explicó Alexis GalesDirector de seguridad de la información de GitHub. “Este es un tema crítico que requiere acción inmediata”.
El equipo de ingeniería de GitHub desarrolló una solución y la implementó más de una hora después de identificar la causa raíz, protegiendo GitHub.com y GitHub Enterprise Server. “En menos de dos horas validamos los hallazgos, aplicamos una solución a github.com e iniciamos una investigación forense que concluyó que no había ningún exploit”, dijo Wales. Esto significa que el problema se solucionó dentro de las seis horas posteriores al informe de Wiz.
La vulnerabilidad en sí fue descubierta “usando IA”, según Wiz. Sin embargo, no está claro qué modelos de IA ayudaron a detectar estos problemas. “En particular, esta es una de las primeras vulnerabilidades críticas descubiertas en un binario de código cerrado que utiliza IA, lo que destaca un cambio en la forma en que se identifican estas debilidades”, dijo Sagi Tzadik, investigador de seguridad de Wiz.
Si bien la rápida respuesta de GitHub significa que se puede implementar una solución en solo unas pocas horas, Wiz advierte que esta rara vulnerabilidad es “muy fácil de explotar”, a pesar de lo complejos que son los sistemas subyacentes de GitHub. “Un descubrimiento de esta magnitud y seriedad es poco común, y es uno de los premios más altos disponibles en nuestro programa Bug Bounty, y sirve como recordatorio de que la investigación de seguridad más impactante proviene de investigadores capacitados que saben cómo hacer las preguntas correctas”, dijo Wales.
El descubrimiento de la principal vulnerabilidad en GitHub se produce pocos días después de que GitHub experimentara una interrupción importante que revirtió aleatoriamente confirmaciones de fusión anteriores (instantáneas de código) para algunos usuarios. GitHub también tiene uno otro apagón la semana pasada, lo que cada vez se está convirtiendo en una tendencia para el servicio. La semana pasada informé sobre las preocupaciones de los empleados con respecto a la confiabilidad de GitHub, destacando a un empleado de GitHub que dijo que “la empresa se está desmoronando, tanto por los terribles cortes de energía que han dañado la reputación de la empresa… como por el éxodo de liderazgo”.
