CISA-kontrahent Nightwing GitHub-læk afslører AWS GovCloud-nøgler

Et offentligt tilgængeligt GitHub-repository tilknyttet regeringskontrahenten Nightwing har eksponeret følsomme autentificeringsoplysninger og cloud-adgangsnøgler forbundet med systemer, der bruges af Cybersecurity and Infrastructure Security Agency (CISA) og Department of Homeland Security. CISA-kontrahentens legitimationslæk på GitHub har udløst øjeblikkelige krav fra lovgivere, der presser CISA for en fuld orientering om omfanget af eksponeringen og hvilke afhjælpende foranstaltninger der er i gang.

Hændelsen er en tydelig påmindelse om, at selv de agenturer, der er ansvarlige for at fastsætte føderale cybersikkerhedsstandarder, er sårbare over for de samme grundlæggende fejl, der plager organisationer af enhver størrelse.

Hvad blev eksponeret i Nightwing GitHub-repositoriet

Repositoriet i centrum af hændelsen var offentligt synligt på GitHub og indeholdt det, som forskere beskrev som privilegerede legitimationsoplysninger, herunder autentificeringstokens og cloud-adgangsnøgler knyttet til AWS GovCloud-miljøer, der bruges af CISA og DHS. AWS GovCloud er et begrænset cloud-miljø bygget specifikt til følsomme amerikanske regeringsarbejdsbelastninger, hvilket gør eksponeringen særligt betydningsfuld.

Repositoriet var angiveligt navngivet på en måde, der antydede, at det burde have været privat, hvilket peger på en ligetil, men konsekvensrig fejlkonfiguration. Forskere, der markerede problemet, var i stand til at identificere legitimationsoplysningerne, inden repositoriet blev fjernet, men eksponeringsvinduet ser ud til at have varet længe nok til at rejse alvorlige spørgsmål om, hvor hurtigt sådanne lækager opdages internt.

Lovgivere tøvede ikke med at reagere. Seniormedlemmer af Kongressen søger nu en direkte orientering fra CISA for at forstå, hvilke systemer der muligvis er blevet tilgået, om nogen legitimationsoplysninger blev udnyttet, og hvorfor lækagen ikke blev opdaget tidligere af agenturet eller dets kontrahent.

Hvorfor lækager af autentificeringsoplysninger er særligt farlige

Ikke alle datalækager har den samme risikoprofil. At eksponere navne og e-mailadresser er skadeligt; at eksponere aktive autentificeringsoplysninger og cloud-adgangsnøgler er en helt anden kategori af trusler.

Når API-nøgler, adgangstokens eller cloud-legitimationsoplysninger offentliggøres i et offentligt repository, kan enhver, der finder dem, potentielt bruge dem med det samme. I modsætning til et adgangskodebrud, hvor en hashkrypteret legitimationsoplysning skal knækkes, inden den bliver brugbar, er en live API-nøgle eller et adgangstoken klar til at blive anvendt, i det øjeblik det opdages. Angribere kan godkende sig direkte til cloud-miljøer, opregne ressourcer, eskalere privilegier, eksfiltrere data eller forstyrre tjenester — alt uden at udløse de typer advarsler, som traditionelle indtrængensforsøg måske ville sætte i gang.

I en regeringssammenhæng forstærkes indsatsen af følsomheden i de involverede systemer. AWS GovCloud-instanser indeholder ofte kontrolleret ikke-klassificeret information, og adgang til disse miljøer kunne give en modstander et detaljeret kort over den føderale infrastruktur. Selv hvis der ikke skete nogen umiddelbar udnyttelse, er efterretningsværdien af at forstå, hvordan CISA's systemer er struktureret og godkendt, betydelig.

Hvordan regeringskontrahentfejl afspejler hverdagens sikkerhedsfejl

Det, der gør denne hændelse lærerig ud over dens umiddelbare politiske konsekvenser, er, hvor ordinær den underliggende fejl er. Utilsigtet at inkludere legitimationsoplysninger i et offentligt repository er konsekvent opført blandt de mest almindelige udviklersikkerhedsfejl. Det sker i startups, virksomheder, open source-projekter og tilsyneladende inden for det kontrahentøkosystem, der understøtter landets øverste cybersikkerhedsagentur.

Mønsteret med institutionel datamishåndtering, der fører til kongresundersøgelse, er ved at blive velkendt. For nylig fulgte ShinyHunters-bruddet på Canvas et lignende forløb: en kontrahent eller leverandør undlod at beskytte følsomme data, eksponeringen blev offentlig, og lovgivere krævede ansvarlighed. Detaljerne er forskellige, men den strukturelle fejl er den samme. Organisationer betror følsomme legitimationsoplysninger eller data til tredjeparter, og disse tredjeparter anvender ikke altid de samme standarder, som den primære organisation hævder at overholde.

For CISA er det visuelle billede særligt akavet. Agenturet har i årevis offentliggjort vejledning, der opfordrer både offentlige og private organisationer til at undgå at gemme hemmeligheder i kodelagre, at rotere legitimationsoplysninger regelmæssigt og at implementere automatiseret scanning for eksponerede nøgler. At have en kontrahent gøre præcis det, som CISA advarer andre mod at gøre, underminerer agenturets autoritet på disse spørgsmål og giver ammunition til kritikere, der hævder, at den føderale cybersikkerhedsposition er performativ snarere end praktisk.

Sådan forhindrer du dine egne legitimationsoplysninger i at blive eksponeret online

Nightwing-hændelsen er en nyttig anledning for enhver, der administrerer legitimationsoplysninger — hvilket i dag betyder stort set enhver udvikler, IT-professionel og endda mange almindelige brugere, der er afhængige af cloud-tjenester eller administrerer deres egne værktøjer.

Her er konkrete trin til at revidere og forbedre din legitimationshygiejne:

Hardkod aldrig legitimationsoplysninger i kode. Brug miljøvariabler eller dedikerede hemmeligheder-styringsværktøjer for at holde legitimationsoplysninger helt væk fra kildefiler. Hvis du bruger en tjeneste, der leverer et SDK eller CLI, skal du tjekke dens dokumentation for den anbefalede måde at godkende på uden at indlejre nøgler i kode.

Scan dine repositories, inden du pusher. Værktøjer designet specifikt til at opdage hemmeligheder i kode kan køre som pre-commit hooks og markere potentielle lækager, inden de nogensinde når et eksternt repository. Det er også værd at køre en scanning på eksisterende repositories, både private og offentlige.

Roter legitimationsoplysninger regelmæssigt og øjeblikkeligt efter enhver mistanke om eksponering. Hvis der er nogen chance for, at en legitimationsoplysning har været synlig, skal du behandle den som kompromitteret og rotere den uden forsinkelse. Mange cloud-udbydere giver dig mulighed for at udstede en ny nøgle og tilbagekalde den gamle uden nedetid.

Brug kortlivede legitimationsoplysninger, hvor det er muligt. Midlertidige legitimationsoplysninger med snævre tilladelser og automatisk udløb begrænser skadevinduet, hvis de nogensinde eksponeres. Cloud-udbydere understøtter i stigende grad identitetsføderation og rollebaseret adgang, der eliminerer behovet for langlivede statiske nøgler.

Revider tredjepartsadgang. Hvis du bruger kontrahenter, leverandører eller open source-integrationer, skal du med jævne mellemrum gennemgå, hvilke legitimationsoplysninger og tilladelser du har tildelt. Tilbagekald adgang, der ikke længere er nødvendig.

Hvad dette betyder for dig

CISA-kontrahentens legitimationslæk på GitHub er ikke kun et regeringsproblem. Det afspejler en systemisk svaghed i, hvordan organisationer af alle typer håndterer hemmeligheder — en svaghed, der påvirker enhver, der gemmer legitimationsoplysninger i kode, bruger cloud-tjenester eller er afhængig af kontrahenter til at administrere følsomme systemer.

Tag dette som en anledning til at køre din egen revision. Gennemgå dine repositories, tjek din cloud-adgangsnøgleoversigt, og sørg for, at ingen legitimationsoplysninger befinder sig et sted, de ikke burde være. Den samme disciplin, som CISA offentligt går ind for, men tilsyneladende undlod at håndhæve internt, er tilgængelig for alle — og det koster langt mindre at anvende proaktivt end at rydde op efter en eksponering.

Hvis det agentur, der er ansvarligt for at beskytte kritisk amerikansk infrastruktur, kan stå over for denne slags pinlighed gennem en kontrahents grundlæggende fejl, er det et rimeligt tidspunkt at spørge, om dit eget hus er tilsvarende i orden.