黑客用GitHub用户令牌从数十家企业内部系统窃取信息

上周,GitHub安全研究人员报告称,4月12日,一名未知的攻击者使用被盗的Heroku和Travis CI维护的第三方OAuth用户令牌从数十家企业(包括npm)的私有存储库中下载数据。

虽然目前尚不清楚究竟有多少企业受到了此次活动的影响,但根据软件供应链保护提供商BluBracket的说法,可以确认的是攻击者“利用了npm私有库中的AWS密钥。”

因此,此次曝光的数据泄露不仅限于GitHub,还可能波及集成了Heroku/Travis的所有应用程序。使用Heroku和Travis生成OAuth用户令牌的企业应该尽快评估这些工具带来的安全风险。

OAuth令牌被盗的风险

OAuth令牌是IT供应商用于自动化云服务(如代码存储库和devops管道)的首选方法之一。但是,虽然这些令牌对于关键IT服务很有用,但它们也很容易被盗。

正如NIT Application Security研究员Ray Kelly所言:“如果令牌被泄露,例如GitHub令牌,攻击者可以窃取公司知识产权IP,或修改源代码发起传播恶意软件或窃取个人隐私信息的供应链攻击。”

虽然这些令牌通常对大多数服务不可见,但熟练的攻击者仍然可以找到获取它们的方法,例如基于浏览器的攻击、开放重定向或基于恶意软件的攻击。

正是出于这个原因,GitHub建议企业用户定期审查哪些OAuth应用程序已被授权访问关键数据资源,删除不必要的,并在可能的情况下审核访问权限。

新的供应链攻击?

GitHub OAuth令牌泄露事件与许多重大供应链攻击有相似之处,例如SolarWinds和Kaseya漏洞,攻击者可对多个下游组织发起攻击。

根据NCC集团的报告,供应链攻击在2021年下半年同比增加了51%。

该报告还发现,大多数组织都没有准备好面对供应链攻击,只有34%的安全决策者表示他们的组织有足够的“弹性”。

防御供应链攻击(例如OAuth令牌滥用)的核心挑战在于,现代云/混合网络非常复杂,攻击面扩大到难以保护的水平。

“云为我们带来了大量的安全改进,但易用性本身隐藏缺点。易用性容易导致疏忽,例如未能审计、监控或OAuth密钥过期,”Bugcrowd的创始人兼首席技术官Casey Ellis说道:“当此类攻击中使用的OAuth密钥无法从数据库或权限不足的存储库中窃取时,攻击者还会使用恶意软件或基于浏览器的攻击从客户端收集它们,然后由初始访问代理收集和汇总,并转售给那些想要进行特定攻击的人。”

前一篇云安全的14个痛点
后一篇中央网信办等五部门印发《2022年数字乡村发展工作要点》(附全文)