Vulnérabilité critique dans GitHub GHES

Vulnérabilité critique dans GitHub Enterprise Server : CVE-2024-4985.

Le 25 avril 2024, le National Institute of Standards and Technology (NIST) a publié une alerte concernant une vulnérabilité critique identifiée dans GitHub Enterprise Server (GHES), référencée sous le code CVE-2024-4985.

Cette vulnérabilité, jugée extrêmement grave avec un score CVSS-B de 10/10, met en lumière une faille de sécurité majeure dans l’authentification unique SAML (Security Assertion Markup Language) avec la fonctionnalité facultative d’assertions chiffrées.

Détails de la vulnérabilité

La vulnérabilité CVE-2024-4985 affecte toutes les versions de GHES antérieures à 3.13.0. Elle a été découverte dans la manière dont GHES gère les revendications SAML chiffrées. SAML est un standard permettant aux fournisseurs d’identité (IdP) de transmettre les informations d’authentification aux fournisseurs de services (SP). Lors de l’utilisation des assertions chiffrées dans SAML, un attaquant peut forger une réponse SAML et se faire passer pour un utilisateur, y compris un administrateur de site, en contournant la vérification de signature.

Cette faille permet à un attaquant de créer une fausse revendication SAML contenant des informations utilisateur correctes. Lorsque GHES traite cette revendication, il échoue à valider correctement sa signature, accordant ainsi l’accès non autorisé à l’instance GHES. Cette exploitation permettrait à un attaquant de compromettre des projets et des codes sources hébergés sur le serveur.

Conditions et impact

Toutes les instances de GHES utilisant l’authentification SAML SSO avec assertions chiffrées sont vulnérables. Cependant, celles utilisant SAML SSO sans assertions chiffrées ou n’utilisant pas SAML ne sont pas concernées. L’impact de cette vulnérabilité est significatif, notamment pour les organisations hébergeant des projets sensibles et des codes critiques sur GHES.

Un Proof of Concept (PoC) de l’exploitation est déjà disponible sur GitHub, augmentant le risque de compromission pour les instances non mises à jour.

Historique et correction

La vulnérabilité a été découverte grâce au programme GitHub Bug Bounty, soulignant l’efficacité des initiatives de recherche de vulnérabilités menées par la communauté. GitHub a publié des correctifs pour remédier à cette vulnérabilité dans les versions suivantes :  3.9.15 , 3.10.12, 3.11.10 et 3.12.4.
La mise à jour vers ces versions ou vers la version 3.13.0 est impérative pour assurer la sécurité des instances GHES.

Contexte de sécurité chez GitHub

GitHub, société américaine de développement logiciel, est célèbre pour sa plateforme de gestion de code éponyme ainsi que pour ses outils comme l’éditeur de texte Atom et le framework Electron. La sécurité a toujours été une priorité pour GitHub, qui a déployé l’authentification à deux facteurs (2FA) obligatoire pour les développeurs en mars 2023.

Cependant, les incidents de sécurité ne sont pas nouveaux pour GitHub. Le 5 mars 2024, une faille importante menaçait déjà des millions d’utilisateurs, y compris des organisations de renom telles que Google. La vulnérabilité actuelle accentue les préoccupations en matière de sécurité pour les utilisateurs de GHES, en particulier ceux gérant des projets critiques.

Conclusion

La vulnérabilité CVE-2024-4985 dans GitHub Enterprise Server représente une menace sérieuse pour la sécurité des projets et des codes sources. Les administrateurs de GHES doivent immédiatement mettre à jour leurs instances vers les versions corrigées pour protéger leurs données. Cette situation souligne l’importance continue de la vigilance en matière de sécurité et des mises à jour régulières des systèmes pour prévenir les compromissions potentielles.

A propos de l'auteur

Retour en haut