Im Februar 2024 wurden unter den CVE Codes CVE-2024-1378 und CVE-2024-1374 zwei kritische Schwachstellen in Github Enterprise Server gelistet. Diese Schwachstellen erlauben es einem Angreifer per Befehlsinjektion, willkürlichen Code auf dem Server mit administrativen Privilegien auszuführen und somit die vollständige Kontrolle über das System zu übernehmen.
CVE-2024-1378 wird mit einem CVSS-Score von 9,1 identifiziert und tritt während der Konfiguration von SMTP-Optionen über die Management-Konsole auf. Diese Schwachstelle ist alarmierend, da sie es einem Angreifer mit lediglich einer Editor-Rolle ermöglicht, seine Privilegien zu eskalieren und Admin-SSH-Zugriff auf den Server zu erlangen. Diese Sicherheitslücke stellt ein erhebliches Risiko dar und betont die Notwendigkeit einer strengen Rollenzuweisung und Berechtigungsvergabe.
Ähnlich verhält es sich mit CVE-2024-1374, der ebenfalls einen CVSS-Score von 9,1 aufweist. Diese Schwachstelle tritt bei der Konfiguration der Weiterleitung von Audit-Logs auf und ermöglicht es wie CVE-2024-1378 einem Benutzer mit Editor-Rechten, ungerechtfertigten administrativen Zugang zu erlangen. Die Tatsache, dass diese Schwachstelle derzeit neu analysiert wird, deutet darauf hin, dass das volle Ausmaß ihrer Implikationen möglicherweise noch nicht vollständig erfasst ist, was die Bedeutung kontinuierlicher Wachsamkeit im Sicherheitsbereich unterstreicht.
Um diese Schwachstellen zu beheben, wird dringend empfohlen, den GitHub Enterprise Server auf die neueste Version zu aktualisieren, die Patches für diese spezifischen Probleme enthält. Darüber hinaus ist die Annahme des Prinzips der minimalen Rechtevergabe entscheidend; Benutzern sollten nur die zur Erfüllung ihrer Rollen notwendigen Berechtigungen gewährt werden, insbesondere sollte die Zuweisung der Rolle „Editor“ vermieden werden, es sei denn, dies ist absolut notwendig.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: