Rünnak GitHubile, mis viis privaatsete hoidlate lekkimiseni ja NPM infrastruktuurile juurdepääsuni.

GitHub teavitas kasutajad rünnakust, mille eesmärk on andmete allalaadimine privaatsest hoidlatest, kasutades Heroku ja Travis-CI teenuste jaoks genereeritud kompromiteeritud OAuth-tokensid. Teadetearuannete kohaselt toimus rünnaku käigus andmeleke mõne organisatsiooni privaatsest hoidlast, mis avasid juurdepääsu hoidlatele PaaS platvormile Heroku ja pideva integreerimise süsteemile Travis-CI. Rünnaku jaoks värviti kaasa ettevõte GitHub ja projekt NPM.

Ründajad suutsid GitHubi privaatsest hoidlast välja võtta API võtme Amazon Web Services, mis on kasutusel NPM projekti infrastruktuuris. Saadud võti võimaldas juurdepääsu NPM-pakettidele, mis on salvestatud AWS S3 teenusesse. GitHub usub, et hoolimata juurdepääsust NPM hoidlatele ei olnud pakette muudetud ega kasutajakontodega seotud andmeid saadud. Samuti rõhutatakse, et kuna GitHub.com ja NPM infrastruktuurid on eraldatud, ei suutnud ründajad laadida GitHubi sisemisi hoidasid, mis ei olnud NPM-iga seotud, enne kui probleemsed tokenid blokeeriti.

Rünnak toimus 12. aprillil, kui ründajad katsusid kasutada AWS API võtit. Hiljem tuvastati sarnaseid rünnakuid ka mitmes muus organisatsioonis, kus kasutati sama Heroku ja Travis-CI rakenduste tokenit. Kannatada saanud organisatsioonide nimed ei ole avalikustatud, kuid kõigile rünnakust mõjutatud kasutajatele on saadetud vastavad individuaalsed teated. Heroku ja Travis-CI rakenduste kasutajatele on soovitatud uurida turva- ja auditi logisid anomaaliate ning ebatavalise tegevuse tuvastamiseks.

Kuidas ründajad tokenid kätte said, pole veel selge, kuid GitHub usub, et nad ei ole saadud ettevõtte infrastruktuuri kompromiteerimise tõttu, kuna väliste süsteemide autoriseerimiseks mõeldud tokenid ei ole GitHubi poolel talletatud algses formaadis, mida saab kasutada. Ründaja käitumise analüüs näitas, et tõenäoliselt on peamine eesmärk privaatsete hoidlate sisu allalaadimine konfidentsiaalsete andmete, nagu juurdepääsuvõtmed, tuvastamiseks, mida võiks kasutada rünnaku jätkamiseks teiste infrastruktuuri osade vastu.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster