Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570ГБ сжатых данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало около 800 CER-отчётов (Customer Engagement Report), содержащих конфиденциальную информацию о платформах и сетевых инфраструктурах клиентов Red Hat, которым предоставлялись консалтинговые услуги.
В представленных атакующими скриншотах и примерах упоминается о получении данных, связанных с около 800 клиентами Red Hat, среди которых Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefonica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA и AT&T, а также Центр разработки надводного вооружения ВМС США, Федеральное управление гражданской авиации США, Федеральное агентство по управлению в чрезвычайных ситуациях США, Военно-воздушные силы США, Агентство национальной безопасности США, Ведомство по патентам и товарным знакам США, Сенат США и Палата представителей США.
Утверждается, что захваченные репозитории содержат сведения об инфраструктуре клиентов, конфигурацию, токены аутентификации, профили VPN, данные инвентаризации, Ansible playbook, настройки платформы OpenShift, CI/CD runner-ы, резервные копии и другие данные, которые могут быть использованы для организации атаки на внутренние сети клиентов. Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.
Компания Red Hat подтвердила инцидент с безопасностью, но не привела подробности и не прокомментировала информацию о содержимом утечки. Упоминается только то, что взломанный GitLab-сервер использовался в консалтинговом подразделении и компания предприняла шаги, необходимые для расследования и восстановления. Представители Red Hat утверждают, что у них нет оснований полагать, что взлом затронул другие сервисы и продукты компании, кроме одного сервера GitLab.
Дополнение: Компания Red Hat опубликовала начальный отчёт об инциденте. Подробностей в отчёте не приводится, указано только, что компания начала расследование, в ходе которого выявлено, что неизвестный получил доступ к GitLab-серверу, используемому для ведения проектов команды Red Hat Consulting, и загрузил с него некоторые данные.
По поводу выгруженных атакующим данных утверждается, что они содержали спецификации проектов, примеры кода и внутренние информационные материалы о консалтинговых услугах. На текущем этапе анализа инцидента пока не выявлено утечки важных персональных данных.
Каким образом атакующий смог получить доступ к GitLab-серверу не уточняется, но указано, что в атаке не использовалась вчера выявленная уязвимость (CVE-2025-10725) в OpenShift AI Service, позволяющая аутентифицированному непривилегированному пользователю, например, исследователю, использующему Jupyter notebook, получить права администратора кластера, имеющего полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера.
Источник: opennet.ru
