eSecurity Planetのコンテンツおよび製品の推奨は編集上独立しています。パートナーへのリンクをクリックすると、当社が報酬を得る場合があります。詳細を学ぶ
CISAの請負業者に関連する公開GitHubリポジトリが、機密のAWS GovCloud認証情報、平文パスワード、および内部デプロイメントファイルを露出させたと伝えられています。
研究者によると、この露出により、複数の内部システムとクラウド環境への特権アクセスが提供された可能性があり、リポジトリが削除される前のことだったとのことです。
「CSVファイルに平文で保存されたパスワード、gitにバックアップ、GitHubシークレット検出機能を無効化する明示的なコマンド」とGitGuardianの研究者であるGuillaume Valadonが述べました。KrebsOnSecurityが報道しました。
彼は次のように述べています。「実際のところ、コンテンツをさらに詳しく分析するまで、すべてが偽物だと本当に思っていました。これは確実に私のキャリアの中で目撃した最悪のリークです。」
CISAのGitHubインシデントの主要ポイント
- CISAの請負業者に関連する公開GitHubリポジトリが、AWS GovCloud認証情報、平文パスワード、SSHキー、および内部デプロイメントデータを露出させたと伝えられています。
- 研究者によると、この露出により、複数の政府クラウド環境および内部システムへの特権アクセスが提供された可能性があります。
- このリポジトリはCISAのソフトウェアリポジトリへのアクセスを含んでいたと伝えられており、ソフトウェアサプライチェーンおよびCI/CDセキュリティのリスクについての懸念が生じています。
- 一部の露出した認証情報はリポジトリが削除された後、ほぼ48時間アクティブなままだったと伝えられています。
CISAのGitHub露出の内側
KrebsOnSecurityによると、公開GitHubリポジトリはAWS GovCloud認証情報、平文パスワード、SSHキー、認証トークン、デプロイメントログ、および内部CISAおよびDHS開発データを露出させたと伝えられています。
研究者によると、この露出にはCISAの内部アーティファクトリシステムへのアクセスが含まれていたとのことで、攻撃者がソフトウェアパッケージを改ざんしたり、悪意のあるコードを注入したり、信頼できるデプロイメントを通じて永続的なアクセスを維持したりする可能性があるという懸念が生じています。
このインシデントは、ソフトウェアサプライチェーンセキュリティに関する懸念の高まり、ならびにクラウドインフラストラクチャ、CI/CD環境、および開発者ツーリングを標的とした攻撃の中で発生しています。
研究者によると、このリポジトリは適切に管理されたエンタープライズ開発環境というよりも、個人的な同期ワークスペースとして機能していたようだとのことです。
コミット履歴から、請負業者は延長された期間にわたって、仕事と個人のシステム間でファイルを転送するために公開リポジトリを使用していた可能性があると伝えられています。
研究者はまた、リポジトリの所有者が、公開リポジトリで露出したパスワード、SSHキー、およびAPIトークンを検出するために設計されたGitHubの組み込みシークレットスキャン保護を無効化していたと伝えられていることを観察しました。
一部の内部パスワードは、プラットフォーム名と現在の年を組み合わせたものなど、弱い命名規則に依存していたと伝えられています。
研究者がCISAに連絡した直後にリポジトリは削除されましたが、一部の露出した認証情報は削除されるまでのほぼ48時間アクティブなままだったと伝えられています。
公開時点で、CISAはインシデントを調査中であると述べており、露出の結果として機密データが侵害されたという兆候はないと述べていました。
同機関はまた、将来同様のインシデントを防止するのに役立つ追加的なセーフガードを実装していると述べています。
クラウドおよびCI/CD環境の保護
セキュリティチームは、強力なアクセス制御、継続的な監視、および強化された開発環境を組み合わせた階層化されたアプローチを取るべきです。
- 自動化されたシークレットスキャン、リポジトリ監視、およびDLP制御を実装して、露出した認証情報および機密ファイルが公開アクセス可能になる前に特定します。
- 最小権限アクセスを強制し、短期のクレデンシャル、MFA、およびGitHub、クラウド、およびCI/CD環境全体での適時管理アクセスを実装します。
- 集中化されたシークレット管理を使用し、平文クレデンシャルストレージ、弱いパスワードプラクティス、および個人とエンタープライズシステム間の無認可同期ワークフローを禁止します。
- 開発環境を強化して、公開リポジトリ作成を制限し、署名付きコミットを強制し、ブランチ保護を適用し、疑わしいリポジトリまたはCI/CDアクティビティを監視します。
- クラウド、ビルド、およびソフトウェアリポジトリ環境をセグメント化して、横展開の機会を削減し、侵害された開発者アカウントまたは露出した認証情報の影響を制限します。
- Git履歴、IAMアクティビティ、クラウド構成、および公開リポジトリを継続的に監視して、異常な動作、認証情報リーク、および無認可アクセス試行を検出します。
- テストしたインシデント対応計画を実施し、認証情報の侵害、データ露出、およびサプライチェーン侵害に関するシナリオを含む攻撃シミュレーションツールを使用します。
これらのステップを組み合わせることで、全体的な露出を削減し、回復力を向上させることができます。
開発環境がターゲットになる理由
CISAのGitHub露出は、サイバーリスクがいかに伝統的なペリメータ防御だけでなく、クラウドインフラストラクチャとソフトウェアサプライチェーンを中心としているかを強調しています。
このインシデントはまた、開発環境がより分散化され、CI/CDエコシステムがより複雑になるにつれて、組織が直面するより広い課題を反映しています。
クラウド導入とオートメーションが拡大するにつれて、リポジトリ、ビルドシステム、および特権開発環境は、機密システムおよびインフラストラクチャへの直接アクセスを提供することが多いため、魅力的なターゲットになっています。
このインシデントはまた、組織が開発者アクセス、クラウド環境、およびソフトウェアサプライチェーン全体のリスク管理を支援するためにゼロトラストアプローチを採用している理由を強化しています。
翻訳元: https://www.esecurityplanet.com/threats/cisa-github-leak-exposes-aws-govcloud-secrets/
