SchwachstellenKI-SicherheitHackerangriffe

KI-gestützte Reverse-Engineering-Technik deckt kritische Sicherheitslücke in GitHub Enterprise auf

Von CyberDeutsch Redaktion
KI-gestützte Reverse-Engineering-Technik deckt kritische Sicherheitslücke in GitHub Enterprise auf
Zusammenfassung

GitHub hat eine kritische Sicherheitslücke in GitHub Enterprise Server offengelegt, die es Angreifern mit Push-Zugriff auf ein Repository ermöglicht hätte, beliebigen Code auszuführen. Die Schwachstelle CVE-2026-3854 mit einem CVSS-Wert von 8,7 betraf neben der Enterprise-Version auch github.com und mehrere Cloud-Varianten. Besonders bemerkenswert ist die Art ihrer Entdeckung: Das Sicherheitsunternehmen Wiz identifizierte die Lücke mit Hilfe von künstlicher Intelligenz durch Reverse-Engineering von kompilierten Binärdateien – ein Durchbruch in der Schwachstellenfindung. Während GitHub die Plattform github.com innerhalb von zwei Stunden patchen konnte, müssen Nutzer von GitHub Enterprise Server auf aktualisierte Versionen upgraden. Die Vulnerabilität entstand durch unzureichende Validierung von nutzergesteuerten Git-Push-Optionen, die es Angreifern ermöglichte, zusätzliche Felder in interne Metadaten einzuschleusen und so Sicherheitsmechanismen zu umgehen. Für deutsche Unternehmen und Behörden, die GitHub Enterprise Server einsetzen, ist ein sofortiges Upgrade notwendig, da zum Zeitpunkt der Veröffentlichung noch 88 Prozent der Installationen anfällig waren. Die Entdeckung unterstreicht zudem, wie KI-gestützte Analysewerkzeuge die Sicherheitslandschaft verändern und bislang schwer erreichbare Sicherheitslücken in geschlossener Software schneller aufdecken können.

Die Schwachstelle lag in der Behandlung von Git-Push-Optionen begründet, die Nutzer beim Hochladen von Code an den Server senden können. Normalerweise ist dies ein beabsichtigtes Git-Feature. Das Problem: GitHub verarbeitete die Benutzereingaben in internen Metadaten ohne ausreichende Validierung. Da die internen Metadaten Trennzeichen verwendeten, die auch in Benutzereingaben vorkommen konnten, war es Angreifern möglich, zusätzliche Felder einzuschleusen – die downstream Services dann als vertrauenswürdige interne Werte interpretierten. Durch das Verketten mehrerer solcher manipulierten Werte konnten Sicherheitsmechanismen umgangen und schließlich Remote Code Execution erreicht werden.

Das Interessanteste an diesem Vorfall ist die Rolle künstlicher Intelligenz. Wiz nutzte ein Tool namens IDA MCP, ein KI-gestütztes System zur Reverse-Engineering von Binärdateien. Sicherheitsforscher Sagi Tzadik erklärt in einer Stellungnahme gegenüber Dark Reading, dass sein Team bereits seit September 2024 nach Sicherheitslücken in GitHub Enterprise Server fahndete, die erforderliche Reverse-Engineering-Arbeit aber als zu ressourcenintensiv eingestuft hatte. Mit manuellen Methoden hätte die Analyse Wochen oder Monate gedauert. Mit KI-Unterstützung gelang es Wiz, von der Idee zur funktionsfähigen Exploit in weniger als 48 Stunden zu gelangen.

Dieser Fall unterstreicht einen grundlegenden Paradigmenwechsel in der Cybersicherheitsforschung. Geschlossene Software galt lange als besonders anfällig, da die fehlende Transparenz des Quellcodes Sicherheitsmängel verdeckt. Durch verbesserte KI-Modelle wird es zunehmend einfacher, solche Black-Box-Binärdateien zu analysieren und auszunutzen. Während Sicherheitsforschung traditionell auf eine begrenzte Anzahl von Projekten konzentriert war, ermöglichen heutige KI-Pipelines die automatisierte Analyse mehrerer Ziele parallel.

GitHub und Wiz empfehlen Kunden von GitHub Enterprise Server dringend, auf die gepatchten Versionen 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 und 3.19.3 zu aktualisieren. Im Gegensatz zu den Cloud-Varianten erfordert GitHub Enterprise Server einen authentifizierten Nutzer mit Push-Zugriff. GitHub.com und die Enterprise Cloud-Varianten wurden bereits automatisch aktualisiert – hier ist kein Benutzereingriff notwendig.

Ähnliche Artikel