O GitHub gabou-se de ter corrigido uma vulnerabilidade crítica em menos de seis horas.

Especialistas do GitHub corrigiram uma vulnerabilidade crítica que, se explorada, poderia ter permitido que invasores executassem código remotamente e acessassem milhões de repositórios de código públicos e privados. A falha foi corrigida em menos de seis horas. A Wiz Research identificou o problema usando algoritmos de IA e o reportou ao GitHub.

“Nossa equipe de segurança começou imediatamente a analisar o relatório como parte do programa de recompensas por vulnerabilidades. Em 40 minutos, reproduzimos a vulnerabilidade em um ambiente de teste e confirmamos sua gravidade. Este era um problema crítico que exigia ação imediata”, disse Alexis Wales, Chefe de Segurança da Informação do GitHub.

Os engenheiros do GitHub desenvolveram rapidamente uma correção e a implementaram pouco mais de uma hora após identificarem a causa raiz, protegendo assim o GitHub.com e o GitHub Enterprise Server. “Em menos de duas horas, confirmamos a vulnerabilidade, implementamos a correção no github.com e iniciamos nossa investigação, que nos levou a concluir que a vulnerabilidade não foi explorada”, acrescentou Wales. Isso significa que a equipe do GitHub resolveu completamente o problema, incluindo a investigação, em menos de seis horas após receber o relatório da Wiz Research.

“Em menos de duas horas, confirmamos a vulnerabilidade, implementamos a correção no github.com e iniciamos nossa investigação, que nos levou a concluir que a vulnerabilidade não foi explorada”, acrescentou Wales. Isso significa que a equipe do GitHub resolveu completamente o problema, incluindo a investigação, em menos de seis horas após receber o relatório da Wiz Research. Segundo a fonte, a vulnerabilidade na infraestrutura do GitHub foi descoberta usando IA, mas o modelo específico usado para identificar o problema não foi especificado. “Notavelmente, esta é uma das primeiras vulnerabilidades críticas descobertas em binários de código fechado usando IA, o que destaca uma mudança na forma como essas falhas são identificadas”, disse Wales.Sagi Tzadik, especialista em segurança da Wiz Research.

Embora a equipe do GitHub tenha corrigido a vulnerabilidade rapidamente, a Wiz Research observou que ela era “extremamente fácil de explorar”, apesar da complexidade do sistema subjacente do GitHub. “Uma descoberta desse nível e gravidade é rara, o que garante aos seus descobridores uma das maiores recompensas disponíveis por meio do nosso programa de descoberta de vulnerabilidades, servindo como um lembrete de que a pesquisa de segurança mais impactante é conduzida por pesquisadores qualificados que sabem fazer as perguntas certas”, observou Wales.