GitHub экстренно устранил критическую уязвимость за шесть часов

GitHub оперативно устранил критическую уязвимость удаленного выполнения кода (RCE) в своей внутренней инфраструктуре git. Это произошло менее чем за шесть часов после того, как компания Wiz Research обнаружила проблему с помощью модели искусственного интеллекта.

Уязвимость могла позволить злоумышленникам получить доступ к миллионам публичных и приватных репозиториев. Команда безопасности GitHub подтвердила серьезность проблемы за 40 минут. Инженеры разработали и внедрили исправление чуть более чем через час после выявления причины. В итоге, за два часа исправление было развернуто на github.com, а расследование подтвердило отсутствие эксплуатации. Вся операция заняла менее шести часов с момента получения отчета от Wiz.

Wiz обнаружила эту уязвимость, используя ИИ. Точная модель не уточняется, но это одно из первых критических уязвимостей в закрытом ПО, найденных таким способом. Саги Цадик, исследователь безопасности из Wiz, отметил, что это указывает на изменение методов выявления таких ошибок.

Несмотря на сложную систему GitHub, уязвимость оказалась удивительно легкой в эксплуатации, по оценке Wiz. Алексис Уэльс, директор по информационной безопасности GitHub, подчеркнул, что такое открытие редкость и получило одну из самых высоких наград в программе Bug Bounty компании.

Эта новость появилась на фоне недавних проблем GitHub. За несколько дней до этого произошел крупный сбой, который случайно откатил некоторые объединенные коммиты у пользователей. Сервис также сталкивался с другими отключениями, что вызывает беспокойство среди сотрудников по поводу надежности платформы и «исхода руководства».