گیت هاب برای رفع یک آسیب پذیری مهم در کمتر از شش ساعت عجله کرد

ماه گذشته، کارمندان GitHub یک آسیب پذیری حیاتی اجرای کد از راه دور را در کمتر از شش ساعت رفع کردند. Wiz Research از مدل‌های هوش مصنوعی برای کشف یک آسیب‌پذیری در زیرساخت Git داخلی GitHub استفاده کرد که می‌توانست به مهاجمان اجازه دسترسی به میلیون‌ها مخزن کد عمومی و خصوصی را بدهد.

الکسیس ولز، رئیس امنیت سایبری در GitHub توضیح می‌دهد: “تیم امنیتی ما بلافاصله شروع به تایید گزارش جایزه باگ کرد. در عرض 40 دقیقه، آسیب‌پذیری را در داخل تولید کردیم و شدت آن را تایید کردیم.” این یک مسئله حیاتی بود که نیاز به اقدام فوری داشت.»

تیم مهندسی GitHub یک اصلاح ایجاد کرده و آن را فقط یک ساعت پس از شناسایی علت اصلی ایجاد کرده و از GitHub.com و GitHub Enterprise Server محافظت می کند. ولز می‌گوید: «در کمتر از دو ساعت ما این کشف را تأیید کردیم، یک اصلاح را در github.com ایجاد کردیم و تحقیقات پزشکی قانونی را آغاز کردیم که نتیجه‌گیری شد که هیچ بهره‌برداری وجود ندارد.» این بدان معنی بود که این مشکل در عرض شش ساعت پس از گزارش Wiz حل شد.

به گفته ویز، خود این آسیب‌پذیری «با استفاده از هوش مصنوعی» کشف شد. با این حال، دقیقاً مشخص نیست که کدام مدل هوش مصنوعی به یافتن مشکل کمک کرده است. Sagi Tzadik، محقق امنیتی Wiz می‌گوید: «قابل توجه، این یکی از اولین آسیب‌پذیری‌های حیاتی است که در باینری‌های منبع بسته با استفاده از هوش مصنوعی کشف شد و تغییر در نحوه شناسایی این نقص‌ها را برجسته می‌کند.

در حالی که پاسخ سریع GitHub به این معنی بود که این اصلاح در عرض چند ساعت اجرا می‌شود، Wiz هشدار می‌دهد که با وجود پیچیدگی سیستم زیربنایی GitHub، از این آسیب‌پذیری نادر «به‌طور قابل‌توجهی به راحتی قابل بهره‌برداری است». ولز می‌گوید: «کشف با این درجه و شدت نادر است، یکی از بالاترین جوایز موجود در برنامه Bug Bounty ما را به‌دست می‌آورد، و یادآوری می‌کند که تأثیرگذارترین تحقیقات امنیتی از سوی محققان متخصصی انجام می‌شود که می‌دانند چگونه سؤالات درست بپرسند.

کشف یک آسیب‌پذیری جدی در GitHub تنها چند روز پس از آن رخ می‌دهد که GitHub یک قطعی بزرگ داشت که به‌طور تصادفی commit‌های ادغام شده قبلی (عکس‌های فوری کد) را برای برخی از کاربران بازیابی کرد. GitHub همچنین هفته گذشته قطعی های دیگری داشت که به طور فزاینده ای در حال تبدیل شدن به یک روند برای این سرویس است. هفته گذشته من در مورد نگرانی های کارمندان در مورد قابلیت اطمینان GitHub گزارش دادم و یکی از کارمندان GitHub را برجسته کردم که می گوید “شرکت در حال فروپاشی است، هم به دلیل قطعی هایی که واقعاً بد هستند و هم اعتبار شرکت را سوزانده اند … و هم به دلیل خروج رهبری.”