GitHub vừa phát đi cảnh báo khẩn cấp yêu cầu khách hàng sử dụng GitHub Enterprise Server (GHES) thực hiện cập nhật khóa ký (signing key rotation) ngay lập tức. Động thái này được đưa ra trong bối cảnh nền tảng này đang điều tra một vụ truy cập trái phép vào các kho lưu trữ nội bộ của hãng.
Diễn biến
Theo báo cáo cập nhật từ cuộc điều tra của GitHub, hệ thống đã ghi nhận các hoạt động truy cập không hợp lệ nhắm vào các tài nguyên nội bộ. Để ngăn chặn các rủi ro bảo mật tiềm ẩn, GitHub đã quyết định tiến hành thay đổi toàn bộ khóa ký của các phiên bản GitHub Enterprise Server. Nhà phát triển và quản trị viên hệ thống sử dụng phiên bản này được khuyến cáo cần phải can thiệp kỹ thuật ngay để tránh gián đoạn dịch vụ.
Bối cảnh
Mặc dù thông tin chi tiết về quy mô của cuộc tấn công chưa được công bố đầy đủ trong thông cáo ngắn, việc có nguy cơ rò rỉ khóa ký là một sự cố nghiêm trọng đối với các doanh nghiệp tự vận hành hệ thống máy chủ GitHub. Các khóa ký này đóng vai trò đảm bảo tính xác thực của các bản cập nhật và mã nguồn được phân phối trong mạng lưới nội bộ của doanh nghiệp.
Vì sao đáng chú ý
Sự cố này ảnh hưởng trực tiếp đến các doanh nghiệp lớn đang vận hành hệ thống GitHub Enterprise tự quản lý (on-premises). Việc chậm trễ xoay vòng khóa ký có thể khiến hệ thống mất khả năng xác thực bảo mật, thậm chí tạo điều kiện cho các cuộc tấn công chuỗi cung ứng nếu kẻ tấn công lợi dụng được các chứng chỉ cũ. Do đó, các kỹ sư DevOps và quản trị hệ thống cần ưu tiên kiểm tra và xử lý cấu hình này theo hướng dẫn của nhà cung cấp.