GitHub’s Private RSA SSH Key Mistakenly Exposed in Public Repository
2023/03/25 DarkReading — 暗号化方式の RSA SSH ホスト鍵の機密部分が、未知の脅威アクターにより公開されたことで、GitHub は SSH キーを交換した。GitHub のオープン・リポジトリで、脅威アクターがシークレット・キーを公開したと思い込み、飛びつく人もいるかもしれないが、これはヒューマン・エラーによって発生したものだった。SSH キーには、パブリック・キーとシークレット・キーがあり、パブリック・キーは共有/公開できるが、シークレット・キーは秘密にしておくことが不可欠なのだ。誰が公開したのか、どこで公開されたのかという点について、GitHub は情報を公表していないが、管理者はブログで状況を説明している。
GitHub のブログには、「今週に、GitHub.com の RSA SSH シークレット・キーが GitHub の公開リポジトリで短期間公開されたことが判明した。私たちは直ちにこの漏えいを食い止めるために、根本的な原因と影響の調査を開始した。現時点ではキーの交換が完了しており、この変更がユーザーに反映されたのは、この後の 30分以内になるだろう」と記されている。
GitHubは、攻撃者がシークレット・キーを見た可能性があることから、ユーザーを保護するために、RSA SSH ホスト・キーを交換した。脅威アクターはこれを利用して、ユーザーのオペレーションの監視や、GitHub になりすました追撃の可能性が生じる。
ブログ記事では、この変更は顧客データには影響せず、ECDSA/Ed25519/GitHub のインフラにも変更は必要なく、RSA を使った SSH でのオペレーションのみだと説明されている。
警告メッセージが表示された場合には、古いキーを削除する必要がある。ファイルを手動で更新して古いエントリーを削除するか、GitHub がブログに掲載した新しいコマンドを実行するか、自動更新がオンになっている場合にはそれを実行する。”SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s” と書かれたフィンガープリントで、自分のホストが新しい RSA SSH キーに接続しているかどうかを確認できる。
何が起こったのかは分かりませんが、RSA SSH のシークレット・キーが GitHub の公開リポジトリで短期間とはいえ公開されてしまったようです。文中にも、警告メッセージが表示された場合の、古いキーの削除について触れられていますが、GitHub の SSH についても、ご参照ください。このブログにも、SSH に関連するトピックが、いくつかあります。
IoT OT Security News 
You must be logged in to post a comment.