SchwachstellenHackerangriffeCloud-Sicherheit

GitHub behebt kritische RCE-Schwachstelle: Millionen private Repositories waren gefährdet

Von CyberDeutsch Redaktion
GitHub behebt kritische RCE-Schwachstelle: Millionen private Repositories waren gefährdet
Zusammenfassung

GitHub hat Anfang März eine kritische Remote-Code-Execution-Sicherheitslücke (CVE-2026-3854) geschlossen, durch die Angreifer auf Millionen privater Repositories hätten zugreifen können. Die von der Cybersicherheitsfirma Wiz entdeckte Schwachstelle ermöglichte es, mit nur einem manipulierten „git push"-Befehl vollständigen Lese- und Schreibzugriff auf private Repositories zu erlangen. Das Sicherheitsteam von GitHub reproduzierte die Lücke innerhalb von 40 Minuten und rollte den Patch innerhalb von zwei Stunden aus. Die Anfälligkeit betraf GitHub.com, GitHub Enterprise Cloud und GitHub Enterprise Server und lag in der unzureichenden Validierung benutzergesteuerter Optionen bei Git-Push-Operationen. Nach Angaben von Wiz hätte die Exploitation die Codebases nahezu aller großen Unternehmen weltweit offenlegen können und zähle zu den schwerwiegendsten SaaS-Sicherheitslücken überhaupt. Für deutsche Unternehmen und Entwickler, die GitHub als zentrale Plattform für die Versionskontrolle und Softwareentwicklung nutzen, war diese Sicherheitslücke von existenzieller Bedeutung. Besonders kritisch ist die Situation für Unternehmen mit GitHub Enterprise Server, da etwa 88 Prozent der anfälligen Instanzen noch nicht gepatcht sind. GitHub bestätigte, dass vor der Offenlegung keine Hinweise auf Ausnutzung der Lücke existierten, wodurch ein Datenschaden abgewendet wurde.

Die Schwachstelle entstand durch unzureichende Eingabevalidierung bei Git-Push-Operationen. Angreifer hätten lediglich einen manipulierten „git push”-Befehl ausführen müssen, um vollständigen Lese- und Schreibzugriff auf private Repositories zu erlangen. Das Problem lag darin, dass GitHub benutzersupplied Optionen während Push-Operationen in interne Server-Metadaten einbezog, ohne diese ausreichend zu bereinigen. Dies ermöglichte es Angreifern, zusätzliche Felder zu injizieren, denen der nachgelagerte Service vertraute. Durch das Verketten mehrerer injizierter Werte konnten Sicherheitsmechanismen umgangen und beliebiger Code auf den Server ausgeführt werden.

Die technische Schwere dieser Lücke kann kaum überschätzt werden. Wie Wiz-Forscher Sagi Tzadik erklärte, hätte das Exploit auf GitHub.com zu Remote-Code-Execution auf gemeinsamen Speicherknoten geführt. Das Team bestätigte, dass Millionen öffentlicher und privater Repositories anderer Nutzer und Organisationen auf den betroffenen Knoten zugänglich waren. Auf GitHub Enterprise Server hätte die gleiche Schwachstelle zum vollständigen Server-Kompromiss geführt, einschließlich Zugriff auf alle gehosteten Repositories und interne Geheimnisse.

Github-CISO Alexis Wales betonte, dass das Sicherheitsteam die Schwachstelle innerhalb von 40 Minuten reproduzieren und bestätigen konnte. Die schnelle Response war entscheidend: Eine forensische Untersuchung fand keine Anzeichen für tatsächliche Ausnutzung vor der Wiz-Offenlegung. Telemetricdaten bestätigten, dass nur die Forscher von Wiz den Exploitpfad triggerten.

Allerdings warnte Tzadik, dass etwa 88 Prozent der erreichbaren GitHub Enterprise Server-Instanzen weiterhin anfällig seien. GitHub bereitet Patches für alle unterstützten GHES-Versionen (3.14.25 und höher) vor und empfahl Administratoren dringend sofortige Upgrades. Für deutsche Unternehmen, die Enterprise Server lokal betreiben, gilt dies als kritische Maßnahme zur Compliance mit IT-Sicherheitsstandards und zur Erfüllung ihrer Sorgfaltspflichten gemäß BSI-Empfehlungen.

Ähnliche Artikel