GitHub revokes code signing certificates stolen in repo hack
2023/01/30 BleepingComputer — 未知の攻撃者が GitHub の開発とリリース計画にリポジトリにアクセスし、Desktop/Atom アプリケーションの暗号化されたコード署名証明書を盗み出したとのことだ。GitHub によると、盗み出されてしまったパスワード保護された証明書 (Apple Developer ID 証明書1枚と Windows アプリに使用される Digicert コード・サイニング証明書2枚) が、悪意の目的で使用されたという証拠は、これまでのところ発見されていない。
GitHub は、「2022年12月6日に、Desktop/Atom などの組織が所有する GitHub リポジトリが、マシン・アカウントに関連する侵害されたパーソナル・アクセス・トークン (PAT) によりクローン化された。このインシデントは 2022年12月7日に検出されたが、我々のチームは直ちに漏洩した認証情報を失効させ、顧客や内部システムへの潜在的な影響の調査を開始した。影響を受けたリポジトリには、顧客データは含まれていなかった」と述べている。
同社は、このセキュリティ侵害による GitHub.com サービスへのリスクは発生せず、影響を受けたプロジェクトに不正な変更が加えられたこともないと付け加えている。
ただし、漏洩した証明書で署名された GitHub Desktop for Mac 版と Atom 版は無効化される予定だ。GitHub は、3つの証明書が 2023年2月2日に失効すると発表している。
1つ目の Digicert 証明書は、すでに 2023年1月4日に失効しており、2つ目の証明書は 2023年2月1日に失効する。これらの証明書の有効期限が切れると、コードへの署名に使用できなくなる。したがって、これらの証明書による継続的なリスクは生じないが、予防措置として 2月2日に失効させる予定とのことだ。
Apple Developer ID 証明書は、2027年まで有効である。したがって、Apple との協力の上で、2月2日に証明書が失効されるまで、公開された証明書で署名された新しい実行ファイル (アプリケーションなど) の有無が監視される。
GitHub は、最新の Atom アプリ (1.63.0-1.63.1) をリリースページから削除し、Desktop アプリ (3.0.2-3.1.2) と Atom (1.63.0-1.63.1) への署名に使用された、 Mac および Windows 署名証明書を 2月2日に失効させる予定としている。
これらの証明書が失効すると、危険な証明書で署名された、すべてのアプリのバージョンは機能しなくなる。
GitHub は、「2023年1月4日に、Desktop アプリの新バージョンを公開した。このバージョンは、脅威要因にさらされていない新しい証明書で署名されている。ワークフローの混乱を避けるため、2月2日までに Desktop のアップデートおよび、Atom のダウングレードを行うことを強く推奨する」と付け加えている。
いろんな問題が山積され、対応に追われる GitHub ですが、見つかった問題に迅速に対応して、公表していく姿勢は評価できます。これからも、大変でしょうが、頑張って欲しいですね。以下は、GitHub 関連の、最近の興味深いポストです。よろしければ、GitHub で検索も、ご利用ください。
2023/01/17:GitHub Codespaces の悪用方法が判明
2023/01/09:GitHub に追加された脆弱性スキャン
2022/12/28:Okta の GitHub リポジトリ侵害から学ぶ
2022/12/15:GitHub の 2FA 義務化:2023/03〜2023/12 で対応
2022/10/23:GitHub に潜む偽 PoC エクスプロイト
IoT OT Security News 
You must be logged in to post a comment.