GitHub-anställda fixade en kritisk sårbarhet för fjärrkörning av kod på mindre än sex timmar förra månaden. Wiz Research använde AI-modeller för att upptäcka sårbarheter i GitHubs interna Git-infrastruktur. Denna sårbarhet gav angripare tillgång till miljontals offentliga och privata kodlager.
”Vårt säkerhetsteam började omedelbart validera bug-bounty-rapporten, och inom 40 minuter kunde vi reproducera sårbarheten internt och bekräfta dess allvarlighetsgrad”, förklarar GitHubs Chief Information Security Officer Alexis Walesa. ”Det här var ett allvarligt problem som krävde omedelbar uppmärksamhet.”
GitHubs ingenjörsteam utvecklade en fix, identifierade grundorsaken och distribuerade den på drygt en timme, vilket skyddade både GitHub.com och GitHub Enterprise Server. ”På mindre än två timmar verifierade vi våra fynd, distribuerade en fix till github.com och påbörjade en kriminalteknisk undersökning som drog slutsatsen att det inte fanns någon exploatering,” sa Walesa. Detta innebär att problemet åtgärdades inom 6 timmar efter att det rapporterats av Wiz.
Enligt Wiz upptäcktes själva sårbarheten ”med AI”. Det är dock inte klart exakt vilken AI-modell som hjälpte till att upptäcka problemet. ”Särskilt, detta är en av de första betydande sårbarheterna som upptäckts i binärfiler med sluten källkod med hjälp av AI, vilket belyser en förändring i hur dessa brister identifieras”, säger Sagi Tzadik, säkerhetsforskare på Wiz.
GitHubs snabba svar såg att patchen rullades ut på bara några timmar, men Wiz varnade att trots hur komplexa GitHubs underliggande system är, så var denna sällsynta sårbarhet ”mycket lätt att utnyttja.” ”Upptäckter av denna omfattning och svårighetsgrad är sällsynta, vilket ger oss en av de högsta belöningarna i vårt bug-bounty-program och är en påminnelse om att den mest effektfulla säkerhetsforskningen kommer från skickliga forskare som vet hur man ställer de rätta frågorna”, säger Wales.
Upptäckten av en kritisk GitHub-sårbarhet kommer flera dagar efter att GitHub drabbades av ett stort avbrott som slumpmässigt återställde tidigare sammanslagna åtaganden (kodögonblicksbilder) för vissa användare. GitHub har upplevt andra avbrott den senaste veckan, men detta börjar bli en trend för tjänsten. Förra veckan rapporterade jag om anställdas oro för GitHubs tillförlitlighet och presenterade en GitHub-anställd som sa: ”Företaget faller samman, både på grund av det riktigt dåliga avbrottet som har förstört företagets rykte, och på grund av ledarskapsläckan.”
