Анализ логов и аудит инфраструктуры не выявил следов эксплуатации уязвимости в прошлом, кроме активности, исследователя, сообщившего о проблеме. Тем не менее, в инфраструктуре была инициирована замена всех ключей шифрования и учётных данных, которые могли быть потенциально скомпрометированы в случае эксплуатации уязвимости злоумышленником. Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря. Администраторы GitHub попытались учесть допущенные ошибки при произведённом вчера обновлении ключей, затрагивающих клиентов.
Среди прочего был обновлён GPG-ключ, используемый для заверения цифровой подписью коммитов, создаваемых через web-редактор GitHub, при принятии pull-запросов на сайте или через инструментарий Codespace. Старый ключ прекратил своё действие 16 января в 23 часа по московскому времени и вместо него со вчерашнего дня применяется новый ключ. Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные.
16 января также обновлены открытые ключи, используемые для шифрования пользователем данных, отправляемых через API в GitHub Actions, GitHub Codespaces и Dependabot. Пользователям, применяющим для локальной проверки коммитов и шифрования передаваемых данных открытые ключи, принадлежащие GitHub, рекомендуется удостовериться, что они обновили GPG-ключи GitHub и их системы продолжают функционировать после произведённой замены ключей.
Компания GitHub уже устранила уязвимость на сайте GitHub.com и выпустила обновление продукта GHES 3.8.13, 3.9.8, 3.10.5 и 3.11.3, в котором отмечено исправление CVE-2024-0200 (небезопасное использование отражений, приводящее к выполнению кода или контролируемых пользователем методов на стороне сервера). Атака на локальные установки GHES могла быть произведена при наличии у злоумышленника учётной записи с правами управления организацией (organization owner).
Источник: http://www.opennet.ru/opennews/art.shtml?num=60448