Red Hat potvrdil bezpečnostní incident – útočníci pronikli do interní instance GitLabu

Red Hat, významný hráč v oblasti open source technologií a cloudové infrastruktury, potvrdil bezpečnostní incident. Neautorizovaný přístup do interní instance GitLabu používané konzultačním týmem způsobil únik dat, který může mít závažné důsledky pro vybrané zákazníky.

Skupina útočníků vystupující pod názvem Crimson Collective tvrdí, že získala přibližně 570 GB dat ze zhruba 28 000 interních vývojových repozitářů Red Hatu. Mezi odcizenými daty se mají nacházet i zprávy o zákaznických projektech (Customer Engagement Reports – CERs), které často obsahují technické detaily, konfigurace infrastruktury, přístupové tokeny a další potenciálně zneužitelná data.

Red Hat potvrdil kompromitaci interní instance GitLab Community Edition, která sloužila pro spolupráci na vybraných konzultačních projektech. GitLab samotný potvrdil, že nejde o narušení jeho platformy, ale o self-hosted instanci, jejíž zabezpečení je plně v odpovědnosti zákazníka.

„Bezpečnost a integrita našich systémů a dat jsou naší nejvyšší prioritou. Podle našich dosavadních zjištění nejsou ostatní produkty nebo služby Red Hat tímto incidentem dotčeny,“ uvedla společnost.

Zveřejněný výpis údajně kompromitovaných dokumentů zahrnuje široké spektrum organizací z veřejného i soukromého sektoru – Bank of America, T-Mobile, AT&T, americké vládní agentury (včetně FAA, US Navy či Kongresu), stejně jako velké retailery jako Walmart a Costco. CER dokumenty obvykle neobsahují osobní údaje, ale mohou zahrnovat podrobnosti o síťové infrastruktuře, autentizačních metodách, konfiguračních prvcích nebo kódech, což z nich činí cenný zdroj informací pro útočníky, kteří by chtěli proniknout do zákaznických systémů.

Skupina Crimson Collective tvrdí, že našla autentizační tokeny, databázové URI a další přístupové informace, které mohly být zneužity k přístupu do infrastruktur zákazníků.

Po detekci incidentu Red Hat izoloval napadenou instanci, zahájil interní vyšetřování

a informoval příslušné úřady. Zároveň firma kontaktuje postižené zákazníky, kterých se incident mohl týkat, a zavádí další opatření k posílení zabezpečení.

Útočníci údajně kontaktovali Red Hat s požadavky, na které firma nereagovala jinak než přesměrováním na standardní proces hlášení zranitelností. To by mohlo naznačovat, že Red Hat odmítl přistoupit na extortion-as-a-service scénář, který se stává stále častější strategií útočníků.

Firmy by měly pravidelně auditovat a monitorovat své vývojové a kolaborační nástroje,

omezit přístup podle principu minimální nezbytnosti (least privilege), detekovat a okamžitě odstraňovat tvrdě zakódované tajné klíče a tokeny v kódu a mít připravený plán reakce na incidenty včetně informování zákazníků.

Organizace všech velikostí by měly považovat GitLab, Jira či podobné nástroje za kritickou součást IT infrastruktury – a podle toho s nimi i zacházet.

Zdroj: redhat.com, bleepingcomputer.com

Zdroj ilustračního obrázku: Jefferson Santos on Unsplash