Vulnerabilidad de GitHub pudo exponer los tokens de sesión de los usuarios

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

GitHub ha parcheado recientemente una vulnerabilidad que potencialmente amenazaba a todas las cuentas de usuario.
Sin embargo, en realidad solo afectó a un subconjunto de cuentas.

Tras la explotación, esta vulnerabilidad de GitHub podría exponer los tokens de sesión de los usuarios.

Es posible que los usuarios de GitHub necesiten iniciar sesión en sus cuentas nuevamente, ya que el servicio los desconectó como medida de precaución.

Tokens de sesión que exponen vulnerabilidades de GitHub

En una publicación de blog reciente, GitHub ha explicado por qué tuvieron que cerrar la sesión de los usuarios de sus cuentas por la fuerza.
Como se reveló, existía una vulnerabilidad grave en la plataforma GitHub que podría exponer los tokens de sesión de los usuarios.

En palabras simples, los tokens de sesión expuestos permiten que un adversario se haga cargo sin problemas de cuentas vulnerables.
Básicamente, el error existía debido a un manejo inadecuado de las sesiones autenticadas.

En circunstancias extremadamente raras, una condición de carrera en un proceso de manejo de solicitudes de backend podría haber desviado la sesión de un usuario al navegador de otro usuario autenticado, dándoles la cookie de sesión válida y autenticada para otro usuario.

GitHub denominó a esto un problema "raro y aislado" que no surgió debido a ninguna otra vulnerabilidad. Además, el error no se pudo activar intencionalmente.

"Es importante tener en cuenta que este problema no fue el resultado de contraseñas de cuentas comprometidas, claves SSH o tokens de acceso personal (PAT) y no hay evidencia que sugiera que esto fue el resultado de un compromiso de cualquier otro sistema GitHub. "

Las investigaciones de GitHub revelaron que el error existió aproximadamente dos semanas en la plataforma, entre el 8 de febrero de 2021 y el 5 de marzo de 2021. Además, tuvo un impacto muy bajo en los usuarios durante este tiempo.

"No hay indicios de que otras propiedades o productos de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se hayan visto afectados por este problema, incluido GitHub Enterprise Server. "

"Creemos que el enrutamiento de esta sesión se produjo en menos del 0,001% de las sesiones autenticadas en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta."

Parche implementado

Al detectar el error, GitHub trabajó para desarrollar una solución para este problema.

Por lo tanto, implementaron el parche por primera vez en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el 5 de marzo de 2021, seguido de un segundo parche el 8 de marzo de 2021.

Aunque no afectó a muchos usuarios, como precaución, tuvieron que invalidar todas las sesiones autenticadas.
Por lo tanto, todos los usuarios salieron de sus cuentas.

Sin embargo, los usuarios pueden volver a iniciar sesión fácilmente en sus cuentas en cualquier momento sin temer por el error, ya que la invalidación de la sesión les ha resuelto el problema.

Fuente:
Latest hacking news
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta