Microsoft, GitHub, GitLab и BitBucket массово отзывают SSH-ключи

Microsoft, GitHub, GitLab и BitBucket, являющиеся одними из крупнейших на сегодняшний день порталов для хостинга кода, инициировали массовый отзыв SSH-ключей. Отзыв начался во вторник, 12 октября, после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.

Уязвимость была обнаружена самим производителем GitKraken, аризонской компанией Axosoft. Как сообщается в ее блоге, версии клиента 7.6.x, 7.7.x и 8.0.0 использовали библиотеку keypair для генерирования SSH-ключей, позволяющих разработчикам подключать свои приложения GitKraken к учетным записям на Azure DevOps, GitHub, GitLab, BitBucket и других удаленных хостингах исходного кода.

Как пояснили в Axosoft, более старые версии библиотеки генерировали RSA-ключи с низкой энтропией, а значит, злоумышленники потенциально могли воспользоваться ею при определенных условиях для создания дубликатов SSH-ключей. С помощью этих дубликатов они могли получить доступ к учетным записям пользователей и похитить проприетарный исходный код.

Как только Axosoft стало известно о проблеме, компания сразу же заменила библиотеку keypair в приложении GitKraken, выпустила версию GitKraken 8.0.1 и уведомила четыре вышеупомянутые платформы. Вскоре команды безопасности Azure DevOps, GitHub, GitLab и Atlassian BitBucket начали процесс отзыва всех SSH-ключей, подключенных к учетным записям, в которых для синхронизации исходного кода используется приложение GitKraken. Сейчас платформы просят своих пользователей сгенерировать новые SSH-ключи с помощью другого Git-клиента или новой версии GitKraken.

В настоящее время свидетельств эксплуатации данной уязвимости в реальных хакерских атаках не обнаружено.

Вдобавок GitHub попросил разработчиков других программных приложений, не только Git-клиентов, проверить наличие в их продуктах уязвимой библиотеки keypair и в случае необходимости обновить свой код. Библиотека keypair получила исправление для уязвимости 12 октября.