El grupo de hackers Crimson Collective anunció que había accedido a uno de los servidores internos de GitLab de Red Hat y había descargado 570 GB de datos comprimidos con información de 28 000 repositorios. Entre otros, los datos comprometidos incluían aproximadamente 800 Informes de Interacción con el Cliente (CER), que contenían información confidencial sobre las plataformas e infraestructuras de red de los clientes de consultoría de Red Hat.
Las capturas de pantalla y los ejemplos proporcionados por los atacantes mencionan la obtención de datos relacionados con aproximadamente 800 clientes de Red Hat, incluidos Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefónica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA y AT&T, así como el Centro de Guerra de Superficie Naval, la Administración Federal de Aviación, la Agencia Federal para el Manejo de Emergencias, la Fuerza Aérea, la Agencia de Seguridad Nacional, la Oficina de Patentes y Marcas de los Estados Unidos, el Senado de los Estados Unidos y la Cámara de Representantes de los Estados Unidos.
Los repositorios comprometidos supuestamente contienen información sobre la infraestructura del cliente, su configuración, tokens de autenticación, perfiles de VPN, datos de inventario, playbooks de Ansible, configuración de la plataforma OpenShift, ejecutores de CI/CD, copias de seguridad y otros datos que podrían utilizarse para lanzar un ataque a las redes internas del cliente. Los atacantes intentaron contactar con Red Hat para extorsionarlo, pero solo recibieron una respuesta estándar solicitándoles que enviaran un informe de vulnerabilidad a su equipo de seguridad.
Red Hat confirmó el incidente de seguridad, pero no proporcionó detalles ni comentarios sobre el contenido de la filtración. Solo indicó que el servidor GitLab pirateado era utilizado por su división de consultoría y que la empresa había tomado las medidas necesarias para investigar y recuperarse. Los representantes de Red Hat afirman que no tienen motivos para creer que el ataque haya afectado a otros servicios o productos de la empresa más allá del servidor GitLab.
Actualización: Red Hat ha publicado un informe inicial sobre el incidente. El informe no proporciona detalles, pero afirma que la compañía ha iniciado una investigación que reveló que un desconocido accedió al servidor GitLab utilizado para los proyectos del equipo de Red Hat Consulting y descargó algunos datos.
Se dice que los datos descargados por el atacante contenían especificaciones de proyectos, ejemplos de código e información interna sobre servicios de consultoría. En la etapa actual del análisis del incidente, no se ha identificado ninguna filtración de datos personales sensibles.
No se especifica cómo el atacante obtuvo acceso al servidor GitLab, pero se indica que el ataque no explotó la vulnerabilidad (CVE-2025-10725) descubierta ayer en OpenShift AI Service, que permite a un usuario autenticado sin privilegios, como un investigador que ejecuta un cuaderno Jupyter, obtener privilegios de administrador del clúster, lo que le otorga acceso completo a todos los servicios, datos y aplicaciones que se ejecutan en el clúster, así como acceso raíz a los nodos del clúster.
Fuente: opennet.ru
