Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Fallstudie

Fallstudie: Stölden av GitHub-kodsigneringscertifikat 2023 

Postat avAryan Kumar 9 minuter
Stöld av GitHub-kodsigneringscertifikat
Innehållsförteckning

Kodsigneringscertifikat är avgörande för att säkerställa programvarans äkthet och integritet. Ändå kan deras stöld göra det möjligt för cyberbrottslingar att distribuera skadlig kod under täckmantel av legitimitet, förutsatt att de också komprometterar de tillhörande privata nycklarna, eftersom komprometteringen av deras tillhörande privata nycklar verkligen möjliggör skadlig signering. Dessa certifikat är attraktiva mål för angripare eftersom de har förtroende hos välrenommerade organisationer, vilket gör att signerad skadlig kod kan kringgå säkerhetskontroller på system som Windows och macOS.  

Den 31 januari 2023 rapporterade GitHub, en ledande plattform för kodhosting, ett betydande säkerhetsintrång där angripare stal tre krypterade kodsigneringscertifikat. Denna incident belyste sårbarheterna i även de mest robusta ekosystemen för mjukvaruutveckling och den förödande potentialen hos stulna certifikat. 

Med den här bloggen kommer vi att upptäcka GitHub-intrånget, utforska de utmaningar de mötte, stöldens inverkan och hur det kunde ha förhindrats.  

Företagsöversikt

Microsoft äger GitHub, världens största plattform för versionshantering och samarbetsinriktad mjukvaruutveckling, som från och med 2023 har över 100 miljoner databaser och betjänar fler än 94 miljoner utvecklare. GitHub, som är baserat i San Francisco, tillhandahåller verktyg för kodhantering, versionshantering och ... pipelines för kontinuerlig integration/kontinuerlig distribution (CI/CD)., som stöder miljontals projekt med öppen källkod och företagsprojekt. Dessa CI/CD och DevOps Integrationer, även om de är kraftfulla, presenterar också potentiella attackytor som cyberaktörer kan utnyttja för att kompromettera programvaruleveranskedjan. 

Plattformens avgörande roll i det globala mjukvaruekosystemet gör den till ett värdefullt mål för angripare som försöker utnyttja betrodda certifikat för skadliga syften. GitHub fungerar som en avgörande länk i mjukvaruförtroendekedjan, där dess certifikat garanterar legitimiteten hos den programvara som distribueras via dess plattform. Denna centrala position gör den till ett exceptionellt attraktivt mål för angripare, eftersom kompromettering av GitHubs certifikat kan göra det möjligt för dem att injicera skadlig kod i en mängd olika betrodda program, vilket effektivt undergräver själva grunden för mjukvarusäkerhet för miljontals användare. 

Överträdelsens art och tidslinje

Intrånget underlättades av en komprometterad personlig åtkomsttoken (PAT), som gav angriparna obehörig åtkomst. Det är ett lösenordsliknande fält associerat med ett maskinkonto utformat för att automatiserade verktyg och skript ska kunna interagera med GitHub. PAT:n utnyttjades sannolikt på grund av otillräckliga säkerhetsåtgärder, även om den exakta komprometteringsmetoden fortfarande är oklar. Angriparna hade åtkomst i ungefär en dag innan intrånget upptäcktes. De stulna certifikaten inkluderade: 

  • Ett Apple Developer ID-certifikat, giltigt till 2027. 
  • Två DigiCert-utfärdade certifikat, med utgångsdatum den 4 januari 2023 respektive 1 februari 2023. 

Viktigt är att alla stulna certifikat var krypterade och lösenordsskyddade; det fanns inga bevis för att angriparna dekrypterade eller använde dem i uppsåtlig ordning. Denna kryptering mildrade sannolikt de omedelbara riskerna, men risken för missbruk förblev en betydande oro. 

Händelsen utvecklade sig enligt följande: 

  • December 6, 2022 Angripare använde den komprometterade PAT-filen för att klona arkiv, inklusive de som innehöll kodsigneringscertifikaten. 
  • December 7, 2022 GitHub upptäckte den obehöriga åtkomsten och återkallade omedelbart den komprometterade PAT:n, vilket stoppade ytterligare åtkomst. 
  • Januari 31, 2023GitHub offentliggjorde händelsen via ett blogginlägg, där stölden avslöjades och åtgärder beskrevs. 
  • Februari 2, 2023Som en försiktighetsåtgärd återkallade GitHub de tre stulna certifikaten omedelbart. 

Det faktum att angriparna fick och bibehöll obehörig åtkomst före upptäckten indikerar en potentiell lucka i GitHubs realtidsövervaknings- och varningssystem för misstänkta aktiviteter kopplade till maskinkonton och PAT:er. Även om GitHub agerade snabbt när åtkomsten identifierades, understryker denna period av oupptäckt åtkomst den kritiska vikten av stark avvikelsedetektering och kontinuerlig säkerhetsövervakning, särskilt för en kritisk infrastrukturmiljö som GitHub. 

Utmaningar

GitHub-kodsigneringscertifikatet medförde flera viktiga utmaningar: 

  1. Obehörig åtkomst till certifikat

    Den 6 december 2022 fick angripare obehörig åtkomst till utvalda GitHub-arkiv och stal tre krypterade kodsigneringscertifikat: ett Apple Developer ID-certifikat och två DigiCert-utfärdade certifikat. Även om certifikaten var lösenordsskyddade, exponerade stölden risken för att angripare försökte dekryptera och missbruka dem för att signera skadlig kod.

  2. Fördröjd upptäckt

    Intrånget förblev oupptäckt fram till den 7 december 2022, då GitHub identifierade misstänkt aktivitet. Denna fördröjning gjorde det möjligt för angripare att stjäla certifikaten, vilket belyser utmaningen med realtidsövervakning i komplexa utvecklingsmiljöer.

  3. Sårbarheter i certifikathantering

    Incidenten avslöjade svagheter i certifikatlagring och åtkomstkontroller. Korrekt RBAC säkerställer att konton, som det som komprometterats, endast har de lägsta nödvändiga behörigheterna för att utföra sina utsedda uppgifter, vilket förhindrar bred åtkomst till känsliga tillgångar som kodsigneringscertifikat.

    Även om certifikaten var krypterade lagrades de i databaser som var tillgängliga för angriparna, vilket tyder på otillräcklig användning av säkra lagringslösningar som Hårdvarusäkerhetsmoduler (HSM), eftersom de är specialbyggda kryptografiska enheter som lagrar kryptografiska nycklar i en manipulationssäker miljö, vilket säkerställer att nycklarna aldrig lämnar enheten, inte ens under signeringsoperationer. GitHubs undersökning bekräftade att ingen skadlig användning förekom, men risken för missbruk var fortfarande en oro.

  4. Återkallelse och svarskomplexitet

    Att återkalla de stulna certifikaten krävde samordning med certifikatutfärdare (CA:er) som DigiCert och Apple, en process som var tidskrävande och störde GitHubs verksamhet. Apple Developer ID-certifikatet, som var giltigt till 2027, utgjorde en särskild utmaning och krävde att Apple övervakade missbruk av signerade körbara filer. Sådana återkallningsprocesser kan vara mycket komplexa och tidskrävande; därför kan användningen av automatiserade lösningar avsevärt effektivisera upptäckten av komprometterade certifikat, påskynda återkallelseprocessen och minimera de driftstörningar som orsakas av sådana incidenter.

Dessa utmaningar belyser några större problem i branschen, där dålig certifikathantering och otillräckliga säkerhetsåtgärder kan utsätta organisationer för betydande risker. 

Inverkan

Stölden av GitHubs kodsigneringscertifikat hade långtgående konsekvenser, även om ingen skadlig användning bekräftades: 

  1. Potential för spridning av skadlig kod

    Om angriparna hade dekrypterat de stulna certifikaten kunde de ha signerat skadlig programvara och kringgått säkerhetskontroller på Windows- och macOS-system. Enligt IBMs rapport om kostnaden för dataintrång från 2024 är den genomsnittliga globala kostnaden för ett dataintrång cirka 4.9 miljoner USD, vilket återspeglar den potentiella allvarlighetsgraden av sådana attacker.

  2. Rykteskada

    GitHubs rykte som en betrodd plattform var i fara, eftersom intrånget kunde ha urholkat förtroendet bland dess 94 miljoner användare. En forskningsstudie noterar att skadlig kodattacker som möjliggörs av stulna certifikat avsevärt kan skada en organisations trovärdighet, vilket potentiellt kan leda till förlorade affärer.

  3. Driftstörning

    GitHubs svar innebar att de stulna certifikaten återkallades den 2 februari 2023 och nya utfärdades, vilket störde utvecklingsarbetsflödena.

  4. Regulatoriska och efterlevnadsrisker

    Överträdelsen väckte oro kring efterlevnaden av standarder som GDPR och CA/B-forumets krav, eftersom stulna certifikat kan leda till dataintrång om de missbrukas.

  5. Branschövergripande bekymmer

    Händelsen underströk det växande hotet från stölder av kodsigneringscertifikat, med en ökning på 742 % av attacker i leveranskedjan som rapporterats av en studie under senare år. Det ledde till förnyat fokus på att säkra privata nycklar och certifikat inom mjukvaruindustrin. Utöver de tekniska konsekvenserna kan sådana intrång allvarligt urholka utvecklarnas förtroende för plattformar som GitHub, eftersom de direkt påverkar det förtroende som användare har för sådana verktyg och plattformar, som de förlitar sig på dagligen.

    Dessutom hade händelsen en indirekt men betydande inverkan på den stora gemenskapen av bidragsgivare med öppen källkod, som är beroende av GitHubs integritet som grund för sitt gemensamma arbete och distributionen av sina projekt.

Att intrånget kan möjliggöra utbredd spridning av skadlig kod betonar verkligen hur viktigt det är att ha starka certifikatskyddsåtgärder på plats. Återkallandet av certifikaten hade direkta konsekvenser för användare av berörda applikationer: 

  • GitHub Desktop för MacVersionerna 3.0.2 till 3.1.2 ogiltigförklarades eftersom dessa signerades med de komprometterade certifikaten. Användare uppmanades att uppdatera till den senaste versionen, som släpptes den 4 januari 2023 och som inkluderade nya certifikat. 
  • AtomVersionerna 1.63.0 och 1.63.1 ogiltigförklarades också, och dessa versioner togs bort från versionssidan. Användare instruerades att nedgradera till version 1.60.0, med beaktande av att Atom officiellt hade upphört att produceras i december 2022. 
  • Opåverkade applikationerGitHub Desktop för Windows påverkades inte, eftersom det använde andra signeringsmekanismer. 

Lösning för företagskodsignering

Få en lösning för alla dina behov av kodsignering och kryptografi för mjukvara med vår kodsigneringslösning.

Boka en demo

Hur kan krypteringskonsulting hjälpa till att förhindra det?

Encryption Consultings CodeSign Secure-lösning erbjuder omfattande verktyg för att förhindra incidenter som GitHub-certifikatstöld. Så här kunde den ha minskat riskerna: 

  1. Säker nyckelförvaring med HSM:er

    Istället för att förlita sig på potentiellt sårbar lagring i arkivet, CodeSign Secure utnyttjar FIPS 140-2 nivå 3-kompatibel Hårdvarusäkerhetsmoduler (HSM)Detta är avgörande eftersom HSM:er tillhandahåller en isolerad, manipulationssäker miljö där privata nycklar genereras och används, vilket säkerställer att de aldrig lämnar enheten.

    För stöld av GitHub-kodsigneringscertifikat skulle detta ha inneburit att även om angripare fick tillgång till arkiv som innehåller krypterade certifikat, skulle motsvarande privata nycklar, avgörande för faktisk signering, ha förblivit säkra och helt oåtkomliga inom HSM:erna.

  2. Leverantör av anpassad nyckellagring (KSP)

    Encryption Consultings egenutvecklade KSP möjliggör hashning på klientsidan, där den kryptografiska hashen av koden beräknas lokalt utan att den privata nyckeln exponeras för användaren eller applikationen. Det hjälper till att säkerställa att signeringsåtgärder sker säkert inom HSM, vilket eliminerar risken för exponering av privata nycklar, även om certifikat stjäls.

  3. Automatiserad signering och granskning

    Manuella signeringsprocesser är benägna att orsaka fel och ger mindre insyn. CodeSign Secure automatiserar signeringsprocessen direkt i CI/CD-pipelines, vilket säkerställer att endast auktoriserad kod signeras konsekvent. Ännu viktigare är att omfattande revisionsloggar genereras för varje signeringsoperation, vilket skulle ha gjort det möjligt för GitHub att upptäcka obehörig åtkomst i realtid och potentiellt stoppa stölden innan den inträffade.

  4. Åtkomstkontroll och övervakning

    CodeSign Secure implementerar strikta, rollbaserade åtkomstkontroller, vilket säkerställer att endast behöriga individer och automatiserade processer kan initiera signeringsoperationer. Dessutom är dess integration med Säkerhetsinformation och händelsehantering (SIEM) System som Splunk möjliggör centraliserad övervakning och varningar i realtid.

  5. Överensstämmelse med industristandarder

    Vår CodeSign Secure-lösning hjälper dig också att säkerställa efterlevnad CA / B Forum och GDPR-krav och hjälpa din organisation att upprätthålla säkra certifikat- och signeringsrutiner.

Slutsats

Stölden av GitHub-kodsigneringscertifikatet 2023 fungerar som en viktig påminnelse om sårbarheterna i mjukvaruutvecklingsekosystem. Stölden av tre krypterade certifikat exponerade betydande risker, med potentiella kostnader och skador för organisationen. GitHubs svar mildrade omedelbar skada, men intrånget underströk behovet av starkare certifikatsäkerhet. 

Krypteringskonsulttjänster CodeSign Secure, med HSM-baserad lagring, automatiserad signering och robust övervakning, erbjuder ett proaktivt försvar mot sådana hot. När cyberbrottslingar riktar in sig på kodsigneringscertifikat måste organisationer prioritera säker nyckelhantering för att skydda sin programvara, sina användare och sitt rykte, eftersom det inte enbart är enskilda företags ansvar att säkra programvaruleveranskedjan utan ett gemensamt branschkrav, vilket kräver gemensamma insatser och bästa praxis för att upprätthålla digitalt förtroende. 

Utforska

Fler ämnen