histats

GitHub piraté, données npm volées après Heroku, les jetons Travis CI ont été mal utilisés

GitHub piraté, données npm volées après Heroku, les jetons Travis CI ont été mal utilisés

GitHub piraté après le vol de jetons Heroku et Travis-CI 0auth lors d’une attaque en amont. Plus de mises à jour avec de nouveaux commentaires de GitHub et Heroku dans notre article du 28 avril ici. Suivez LinkedIn pour plus d’unaussi.

Un attaquant inconnu a piraté GitHub pour télécharger des données à partir d’un certain nombre de référentiels de code privés, dont npm – le plus grand registre de logiciels au monde avec 75 milliards de téléchargements par mois – a confirmé la société lors d’un incident de cybersécurité très inquiétant. GitHub dit que lui et d’autres entreprises concernées ont été compromis après que l’attaquant a volé des jetons d’authentification à deux autres éditeurs de logiciels en amont.

GitHub Security a confirmé la violation le 18 avril, affirmant avoir découvert un accès non autorisé à sa propre infrastructure de production npm à l’aide d’une clé API AWS compromise le 12 avril dans le cadre de l’évolution de l’incident. (GitHub exploite un certain nombre de micro-services et de bases de données qui sous-tendent l’infrastructure de production du registre npm ; un nœud de code JavaScript et le plus grand registre de logiciels au monde, qu’il a acquis en 2020.)

GitHub a déclaré avoir vu “un accès non autorisé et un téléchargement des référentiels privés de l’organisation npm sur GitHub.com et un accès potentiel aux packages npm tels qu’ils existent dans le stockage AWS S3 … nous considérons que l’attaquant n’a modifié aucun package ou accéder à toutes les données ou informations d’identification du compte utilisateur.”

GitHub a été piraté après que Heroku, les jetons Travis-CI 0auth aient eu accès

Les attaquants semblent utiliser 0Auth – un protocole d’autorisation standard de l’industrie – des jetons volés aux éditeurs de logiciels Heroku et Travis-CI pour lancer les attaques, GitHub a déclaré : “Nous sommes convaincus que les jetons d’utilisateur OAuth compromis de Heroku et Travis-CI sont maintenus Des applications OA ont été volées et utilisées à mauvais escient pour télécharger des référentiels privés appartenant à des dizaines d’organisations victimes… Notre analyse d’autres comportements de l’acteur menaçant suggère que les acteurs peuvent extraire le contenu du référentiel privé téléchargé, auquel le jeton OAuth volé avait accès, pour des secrets tels qu’ils peuvent être utilisés pour basculer dans d’autres infrastructures.”

See also  Les ponts entre les chaînes de blocs continuent de se rompre alors que la startup de cryptographie Nomad a été piratée pour 190 millions de dollars

0Les jetons d’authentification des applications suivantes ont été utilisés à mauvais escient, indique-t-il.

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831)
  • Travis CI (ID: 9216)

Il semble troublant qu’Heroku et Travis-CI n’étaient pas au courant de la violation jusqu’à ce que GitHub les notifie, et tous deux ont déclaré avoir pris des mesures après que GitHub les a informés de la violation.

Déclaration de GitHub.

La déclaration d’Heroku.

Déclaration de Travis-CI.

Casey Ellis, directeur technique de Bugcrowd, a noté dans un commentaire par e-mail à Les piles: «Le cloud nous a apporté un large choix d’améliorations de la sécurité, mais la commodité a un inconvénient caché – La facilité d’utilisation signifie également qu’il est plus facile d’effectuer des contrôles de sécurité, comme ne pas réviser, surveiller ou expirer les clés Oauth. Lorsque les clés Oauth telles que celles utilisées dans cette attaque ne peuvent pas être volées à partir d’une base de données ou d’un référentiel avec une mauvaise autorisation, elles sont souvent récupérées du côté client à l’aide de logiciels malveillants ou d’attaques basées sur le navigateur, puis collectées et agrégées par Initial Access Brokers, et revendus à ceux qui ont besoin de les utiliser pour une attaque spécifique. Je soupçonne que c’est ce qui s’est passé ici, et la leçon importante est que ce type de menace en couches est un risque actuel et actif pour tout ce qui est hébergé dans le cloud.”

Heroku est utilisé par les développeurs pour distribuer, exécuter et gérer des applications cloud. Il appartient à Salesforce. Travis CI est une plateforme d’intégration continue, de développement continu (CI/CD) utilisée par plus de 300 000 projets, dont Ruby on Rails, Ember.js, OpenSSL, Puppet et Logstash. Heroku a déclaré qu’il avait effectivement temporairement tué l’intégration GitHub dans le but de réduire l’impact de l’attaque, indiquant aux utilisateurs que “cela vous empêchera de déployer vos applications depuis GitHub via le tableau de bord Heroku ou via l’automatisation Heroku”.

See also  Sextapelinken Les pirates Facebook ont ​​frappé Zim, voici comment sécuriser votre compte

GitHub a ajouté qu’ils avaient contacté les sociétés dont les pensions privées avaient été ouvertes.

La société a ajouté dans une mise à jour le 18 avril sur son blog : “Nous travaillons toujours pour comprendre si l’attaquant a vu ou téléchargé en privé [npm] paquets. npm utilise une infrastructure complètement distincte de GitHub.com ; GitHub n’a pas été affecté par cette attaque initiale. “Alors que l’enquête se poursuit, nous n’avons trouvé aucune preuve que d’autres dépôts privés appartenant à GitHub aient été clonés par l’attaquant à l’aide de jetons OAuth tiers volés.”

Heroku, Travis-CI répond, porte de l’écurie verrouillée…

Heroku a ajouté dans une déclaration soigneusement rédigée: «13. En avril 2022, Salesforce Security a été informé par GitHub qu’un sous-ensemble de référentiels privés Herokus GitHub, y compris du code source, avait été téléchargé par un joueur menaçant le 9 avril 2022. Sur la base de l’enquête initiale de Salesforce, il semble qu’un accès non autorisé à Herokus GitHub compte était le résultat d’un jeton OAuth compromis. Salesforce a immédiatement désactivé les jetons OAuth de l’utilisateur compromis et désactivé le compte GitHub de l’utilisateur compromis… GitHub a signalé que l’auteur de la menace a compté les comptes clients GitHub à l’aide de jetons OAuth émis sur le tableau de bord d’intégration OAuth d’Herokus hébergé sur GitHub. Sur la base des informations que GitHub a partagées avec nous, nous enquêtons sur la manière dont l’auteur de la menace a eu accès aux jetons OAuth des clients. Les jetons compromis peuvent donner au joueur malveillant l’accès aux dépôts GitHub du client, mais pas aux comptes Heroku du client. Avec l’accès aux jetons OAuth du client, l’auteur de la menace peut avoir un accès en lecture et en écriture aux référentiels GitHub du client connectés à Heroku.

See also  La technologie nous rendra-t-elle tous beaucoup plus sains ? - Économie

Travis CI sa: «15. En avril 2022, le personnel de Travis CI a été informé que certains référentiels de clients privés pouvaient avoir été ouverts par une personne utilisant une attaque 2FA de type man-in-the-middle, en exploitant un jeton d’intégration tiers. Immédiatement après avoir pris connaissance de ces informations, Travis CI a immédiatement révoqué toutes les clés d’autorisation et tous les jetons qui empêchaient tout accès ultérieur à nos systèmes. Aucune donnée client n’a été révélée et aucun autre accès n’a été possible. Après un examen plus approfondi le même jour, le personnel de Travis CI a appris que le pirate informatique avait cassé un service Heroku et avait eu accès à une clé OAuth privée utilisée pour intégrer l’application Heroku et Travis CI. Cette clé ne permet pas d’accéder à l’inventaire des clients Travis CI ou aux données des clients Travis CI. Nous avons enquêté en profondeur sur ce problème et n’avons trouvé aucune preuve d’intrusion dans un référentiel client privé (c’est-à-dire le code source) car la clé OAuth volée lors de l’attaque Heroku ne fournit pas ce type d’accès. Sur la base de ce que nous avons constaté, nous ne pensons pas qu’il s’agisse d’un problème ou d’un risque pour nos clients », a ajouté la société le 18 avril.

Êtes-vous concerné ? Avez-vous des préoccupations ou des réflexions que vous souhaitez partager ? Envoyez-nous un e-mail.

Voir aussi : 7 outils de cybersécurité gratuits que votre équipe devrait connaître

You may also like...

Leave a Reply

Your email address will not be published.