logo Cybergen
Zgłoś incydent
Zgłoś incydent
Podejrzewasz, że mogłeś paść ofiarą ataku? Nie czekaj, zgłoś nam problem i skorzystaj z pomocy naszego zespołu 24/7
Cyberbezpieczeństwo GitHub

Ujawnienie prywatnego klucza RSA SSH GitHuba

Klucz prywatny RSA SSH GitHuba został na krótko ujawniony w publicznym repozytorium GitHub. Około 05:00 UTC 24 marca, zastąpiono klucz RSA SSH hosta używany do zabezpieczenia operacji Git dla GitHub.com. Zrobiono to, aby chronić użytkowników przed możliwością podszycia się pod GitHub lub podsłuchania ich operacji Git przez SSH. Klucz nie daje dostępu do infrastruktury GitHub ani do danych klientów. Zmiana ma wpływ tylko na operacje Git przez SSH przy użyciu RSA. Ruch internetowy do GitHub.com i operacje HTTPS Git nie są dotknięte.

 

Co się stało i jakie działania podjęto?

Zastąpiony został tylko klucz RSA SSH GitHub.com. Nie jest wymagana żadna zmiana dla użytkowników ECDSA lub Ed25519. Klucze są udokumentowane tutaj. W tym tygodniu odkryto, że klucz prywatny RSA SSH GitHub.com został na krótko ujawniony w publicznym repozytorium GitHub. Natychmiast podjęto działania w celu ograniczenia ekspozycji i rozpoczęto dochodzenie, aby zrozumieć pierwotną przyczynę i konsekwencje. Zakończono już wymianę klucza, a użytkownicy powinni zobaczyć propagowanie zmiany. Niektórzy użytkownicy mogli zauważyć, że nowy klucz był krótko obecny od około 02:30 UTC podczas przygotowań do tej zmiany.


Należy pamiętać, że ten problem nie był wynikiem naruszenia jakichkolwiek systemów GitHub lub informacji klientów. Zamiast tego, narażenie to efekt nieumyślnego opublikowania prywatnych informacji. Nie ma powodów, aby sądzić, że ujawniony klucz był nadużywany i podjęto to działanie z nadmiaru ostrożności.

 

 

Co możesz zrobić?

Jeśli używasz kluczy ECDSA lub Ed25519, nie zauważysz żadnej zmiany i nie ma potrzeby podejmowania żadnych działań.

 

Jeśli podczas łączenia się z GitHub.com przez SSH widzisz następujący komunikat, to czytaj dalej.

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.

Jeśli zobaczysz powyższy komunikat, będziesz musiał usunąć stary klucz, uruchamiając to polecenie:

 

$ ssh-keygen -R github.com

 

Lub ręcznie zaktualizować swój plik ~/.ssh/known_hosts, aby usunąć stary wpis.


Następnie możesz ręcznie dodać następującą linię, aby dodać nowy wpis klucza publicznego RSA SSH do pliku ~/.ssh/known_hosts:

 

github.com ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCj7ndNxQowgcQnjshcLrqPEiiphnt+VTTvDP6mHBL9j1aNUkY4Ue1gvwnGLVlOhGeYrnZaMgRK6+PKCUXaDbC7qtbW8gIkhL7aGCsOr/C56SJMy/BCZfxd1nWzAOxSDPgVsmerOBYfNqltV9/hWCqBywINIR+5dIg6JTJ72pcEpEjcYgXkE2YEFXV1JHnsKgbLWNlhScqb2UmyRkQyytRLtL+38TGxkxCflmO+5Z8CSSNY7GidjMIZ7Q4zMjA2n1nGrlTDkzwDCsw+wqFPGQA179cnfGWOWRVruj16z6XyvxvjJwbz0wQZ75XK5tKSb7FNyeIEs4TT4jk+S4dhPeAUC5y+bDYirYgM4GC7uEnztnZyaVWQ7B381AK4Qdrwt51ZqExKbQpTUNn+EjqoTwvqNj4kqx5QUCI0ThS/YkOxJCXmPUWZbhjpCg56i+2aB6CmK2JGhn57K5mj0MNdBXA4/WnwH6XoPWJzK5Nyu2zB3nAZp+S5hpQs+p1vN1/wsjk=

 

 

Lub automatycznie zaktualizuj klucz RSA SSH GitHub.com w swoim ~/.ssh/known_hosts, wykonując następujące czynności w terminalu:

 

$ ssh-keygen -R github.com
$ curl -L https://api.github.com/meta | jq -r '.ssh_keys | .[] | sed -e 's/^/github.com /' >> ~/.ssh/known_hosts

 

Możesz sprawdzić, czy hosty łączą się za pomocą nowego klucza RSA SSH, potwierdzając, że widzisz następujący odcisk palca:

 

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s

 

Użytkownicy GitHub Actions mogą zobaczyć nieudane uruchomienie przepływu pracy, jeśli używają akcji /checkout z opcją ssh-key. Akcje actions/checkout aktualizowane są we wszystkich wspieranych tagach, w tym @v2, @v3 i @main. Jeśli przypniesz akcję do commit SHA i użyjesz opcji ssh-key, będziesz musiał zaktualizować swój przepływ pracy. Możesz przeczytać więcej o tym procesie w oficjalnej dokumentacji dotyczącej hartowania bezpieczeństwa.

 

Aby uzyskać więcej informacji, sprawdź oficjalną dokumentację na temat odcisków kluczy publicznych SSH GitHub. Jeśli potrzebujesz pomocy, skontaktuj się z naszymi przedstawicielami, którzy podpowiedzą, jak poradzić sobie z takimi zagrożeniami i wyzwaniami z nimi związanymi. 

Zamów prezentację

Kontakt

Cybergen jest konsorcjum 2 spółek, którego celem jest wprowadzenie na rynek polski produktów Group-IB oraz świadczenie usług w zakresie cyberbezpieczeństwa

logo-1

Dobra 22/24
00-388 Warszawa

(22) 100 777
grow logo

Grow Poland Sp. z o.o.

Konstruktorska 11 (Adgar BIT), 5th floor

02-673 Warsaw, Poland

(48) 668 258 500