Изтичане от GitHub на изпълнителя на CISA Nightwing разкрива ключове за AWS GovCloud

Публично достъпно хранилище в GitHub, свързано с правителствения изпълнител Nightwing, е разкрило чувствителни идентификационни данни за удостоверяване и ключове за достъп до облак, свързани със системи, използвани от Агенцията за киберсигурност и инфраструктурна сигурност (CISA) и Министерството на вътрешната сигурност. Изтичането на идентификационни данни на изпълнителя на CISA в GitHub предизвика незабавни искания от законодатели, които настояват CISA за пълен брифинг относно обхвата на разкритието и какви стъпки за отстраняване са предприети.

Инцидентът е красноречиво напомняне, че дори агенциите, отговорни за установяването на федерални стандарти за киберсигурност, са уязвими към същите основни грешки, които засягат организации от всякакъв мащаб.

Какво беше разкрито в хранилището на Nightwing в GitHub

Хранилището в центъра на инцидента беше публично видимо в GitHub и съдържаше това, което изследователите описаха като привилегировани идентификационни данни, включително токени за удостоверяване и ключове за достъп до облак, свързани с AWS GovCloud среди, използвани от CISA и DHS. AWS GovCloud е ограничена облачна среда, изградена специално за чувствителни работни натоварвания на американското правителство, което прави разкритието особено значимо.

Съобщава се, че хранилището е наименувано по начин, който подсказва, че е трябвало да бъде частно, което сочи към проста, но последствена неправилна конфигурация. Изследователите, които сигнализираха за проблема, успяха да идентифицират идентификационните данни, преди хранилището да бъде свалено, но изглежда, че прозорецът на разкритието е продължил достатъчно дълго, за да породи сериозни въпроси относно скоростта, с която подобни изтичания се откриват вътрешно.

Законодателите не загубиха много време в реакцията си. Старши членове на Конгреса сега търсят директен брифинг от CISA, за да разберат до кои системи може да е имало достъп, дали някои идентификационни данни са били използвани и защо изтичането не е било открито по-рано от агенцията или нейния изпълнител.

Защо изтичанията на идентификационни данни за удостоверяване са особено опасни

Не всички изтичания на данни носят еднакъв рисков профил. Разкриването на имена и имейл адреси е вредно; разкриването на активни идентификационни данни за удостоверяване и ключове за достъп до облак е изцяло различна категория заплаха.

Когато API ключове, токени за достъп или облачни идентификационни данни бъдат публикувани в публично хранилище, всеки, който ги намери, потенциално може да ги използва незабавно. За разлика от пробив с пароли, при който хеширана идентификационна информация трябва да бъде разбита, преди да стане полезна, живият API ключ или токен за достъп е готов за използване в момента, в който бъде открит. Нападателите могат директно да се удостоверят в облачни среди, да изброят ресурси, да ескалират привилегии, да изнесат данни или да прекъснат услуги — всичко това без да задействат вида сигнали, които традиционните опити за проникване биха могли да предизвикат.

В правителствен контекст залозите се увеличават от чувствителността на въпросните системи. AWS GovCloud инстанциите често съхраняват контролирана некласифицирана информация, а достъпът до тези среди би могъл да предостави на противник подробна карта на федералната инфраструктура. Дори ако не е настъпила незабавна експлоатация, разузнавателната стойност от разбирането как системите на CISA са структурирани и удостоверени е значителна.

Как неуспехите на правителствените изпълнители отразяват ежедневните грешки в сигурността

Това, което прави този инцидент поучителен отвъд непосредствените му политически последици, е колко обикновена е основната грешка. Случайното включване на идентификационни данни в публично хранилище е постоянно посочвано сред най-честите грешки в сигурността на разработчиците. Това се случва в стартъпи, предприятия, проекти с отворен код и, очевидно, в рамките на екосистемата от изпълнители, поддържащи водещата агенция за киберсигурност в страната.

Моделът на институционално неправилно управление на данни, водещо до парламентарен контрол, става все по-познат. Съвсем наскоро пробивът на ShinyHunters в Canvas следваше подобна дъга: изпълнител или доставчик не успя да защити чувствителни данни, разкритието стана публично и законодателите поискаха отчетност. Конкретиките се различават, но структурният провал е същият. Организациите поверяват чувствителни идентификационни данни или данни на трети страни, а тези трети страни не винаги прилагат същите стандарти, които основната организация твърди, че спазва.

За CISA оптиката е особено неловка. Агенцията е прекарала години в публикуване на насоки, призоваващи организации от публичния и частния сектор да избягват съхраняването на тайни в кодови хранилища, да сменят редовно идентификационните данни и да внедрят автоматизирано сканиране за разкрити ключове. Изпълнител да прави точно това, от което CISA предупреждава другите да се пазят, подкопава авторитета на агенцията по тези въпроси и дава аргументи на критиците, които твърдят, че федералната позиция в киберсигурността е по-скоро показна, отколкото практична.

Как да предотвратите разкриването на собствените си идентификационни данни онлайн

Инцидентът с Nightwing е полезен повод за всеки, който управлява идентификационни данни — а днес това означава практически всеки разработчик, IT специалист и дори много обикновени потребители, които разчитат на облачни услуги или управляват собствени инструменти.

Ето конкретни стъпки за одит и подобряване на хигиената на идентификационните ви данни:

Никога не въвеждайте идентификационни данни директно в кода. Използвайте променливи на средата или специализирани инструменти за управление на тайни, за да държите идентификационните данни напълно извън изходните файлове. Ако използвате услуга, която предоставя SDK или CLI, проверете документацията й за препоръчания начин за удостоверяване без вграждане на ключове в кода.

Сканирайте хранилищата си преди публикуване. Инструменти, специално предназначени за откриване на тайни в кода, могат да работят като pre-commit куки, маркирайки потенциални изтичания, преди да достигнат до отдалечено хранилище. Струва си също така да извършите сканиране на съществуващи хранилища — както частни, така и публични.

Сменяйте идентификационните данни редовно и незабавно след всяко предполагаемо разкритие. Ако съществува каквато и да е вероятност дадена идентификационна информация да е bila видима, третирайте я като компрометирана и я сменете без забавяне. Много доставчици на облак ви позволяват да издадете нов ключ и да отмените стария без прекъсване на работата.

Използвайте краткосрочни идентификационни данни, когато е възможно. Временните идентификационни данни с ограничени разрешения и автоматично изтичане ограничават прозореца на щетите при евентуално разкритие. Доставчиците на облак все повече поддържат федерация на идентичности и достъп, базиран на роли, което елиминира необходимостта от дълготрайни статични ключове.

Одитирайте достъпа на трети страни. Ако използвате изпълнители, доставчици или интеграции с отворен код, периодично преглеждайте какви идентификационни данни и разрешения сте предоставили. Отменете достъпа, който вече не е необходим.

Какво означава това за вас

Изтичането на идентификационни данни на изпълнителя на CISA в GitHub не е само правителствен проблем. То отразява системна слабост в начина, по който организации от всички видове управляват тайни — слабост, която засяга всеки, който съхранява идентификационни данни в код, използва облачни услуги или разчита на изпълнители за управление на чувствителни системи.

Използвайте това като повод да направите собствен одит. Прегледайте хранилищата си, проверете инвентара на ключовете за достъп до облак и се уверете, че никакви идентификационни данни не се намират там, където не би трябвало. Същата дисциплина, която CISA публично застъпва, но очевидно не е успяла да наложи вътрешно, е достъпна за всеки — и струва много по-малко да се приложи проактивно, отколкото да се почиства след разкритие.

Ако агенцията, натоварена със защитата на критичната инфраструктура на САЩ, може да се изправи пред подобно смущение заради основна грешка на изпълнител, е разумен момент да се запитате дали вашата собствена ситуация е в подобен ред.