A CISA vállalkozó Nightwing GitHub-szivárgása AWS GovCloud kulcsokat tett közzé

A Nightwing kormányzati vállalkozóhoz köthető, nyilvánosan elérhető GitHub-tárház érzékeny hitelesítési adatokat és felhőhozzáférési kulcsokat tett ki, amelyek a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) és a Belbiztonsági Minisztérium (DHS) által használt rendszerekhez kapcsolódnak. A CISA vállalkozójának GitHub-on bekövetkezett hitelesítési adat-szivárgása azonnali követeléseket váltott ki a törvényhozók részéről, akik teljes körű tájékoztatást sürgetnek a CISA-tól az érintett adatok köréről és a folyamatban lévő helyreállítási lépésekről.

Az eset szemléletes emlékeztetője annak, hogy még a szövetségi kiberbiztonsági szabványok meghatározásáért felelős ügynökségek is ugyanolyan alapvető hibáknak vannak kitéve, amelyek minden méretű szervezetet sújtanak.

Mi került nyilvánosságra a Nightwing GitHub-tárházban

Az incidens középpontjában álló tárház nyilvánosan látható volt a GitHubon, és a kutatók leírása szerint kiemelt jogosultságú hitelesítési adatokat tartalmazott, köztük hitelesítési tokeneket és felhőhozzáférési kulcsokat, amelyek a CISA és a DHS által használt AWS GovCloud környezetekhez kötődtek. Az AWS GovCloud egy korlátozott hozzáférésű felhőkörnyezet, amelyet kifejezetten az érzékeny amerikai kormányzati munkaterhelések kezelésére hoztak létre, ami különösen jelentőssé teszi az adatszivárgást.

A tárházat állítólag olyan névvel látták el, amely azt sugallta, hogy privátnak kellett volna lennie, ami egy egyszerű, de következményekkel járó helytelen konfigurációra utal. A problémát jelző kutatók még a tárház eltávolítása előtt azonosítani tudták a hitelesítési adatokat, ugyanakkor az érintettség időablaka elég hosszúnak tűnik ahhoz, hogy komoly kérdéseket vessen fel azzal kapcsolatban, hogy az ügynökség vagy vállalkozója milyen gyorsan észleli az ilyen szivárgásokat belülről.

A törvényhozók nem késlekedtek a reagálással. A Kongresszus vezető tagjai most közvetlen tájékoztatást kérnek a CISA-tól annak megértése érdekében, hogy mely rendszerekhez férhetett hozzá illetéktelen, hogy kihasználták-e a hitelesítési adatokat, és miért nem fedezte fel a szivárgást korábban az ügynökség vagy vállalkozója.

Miért különösen veszélyesek a hitelesítési adat-szivárgások

Nem minden adatszivárgás hordoz azonos kockázati profilt. Nevek és e-mail-címek közzététele is káros; az aktív hitelesítési adatok és felhőhozzáférési kulcsok felfedése azonban egészen más kategóriájú fenyegetést jelent.

Amikor API-kulcsokat, hozzáférési tokeneket vagy felhőalapú hitelesítési adatokat tesznek közzé egy nyilvános tárházban, bárki, aki megtalálja őket, potenciálisan azonnal felhasználhatja azokat. Ellentétben egy jelszószivárgással, ahol a kivonatolt hitelesítési adatot fel kell törni, mielőtt használhatóvá válna, egy élő API-kulcs vagy hozzáférési token azonnal bevethető a felfedezés pillanatától. A támadók közvetlenül hitelesíthetik magukat a felhőkörnyezetekben, felsorolhatják az erőforrásokat, jogosultságokat emelhetnek, adatokat szivárogtathatnak ki, vagy megzavarhatják a szolgáltatásokat – mindezt anélkül, hogy a hagyományos behatolási kísérletekhez hasonló riasztásokat váltanának ki.

Kormányzati kontextusban a tét tovább növekszik az érintett rendszerek érzékenysége miatt. Az AWS GovCloud példányok gyakran tárolnak ellenőrzött nem minősített információkat, és az ezekhez a környezetekhez való hozzáférés részletes képet adhat egy ellenségnek a szövetségi infrastruktúráról. Még ha nem is történt azonnali kihasználás, annak felderítési értéke, hogy miként épülnek fel és hitelesítik magukat a CISA rendszerei, önmagában is jelentős.

Hogyan tükrözik a kormányzati vállalkozói hibák a mindennapi biztonsági tévedéseket

Ami ezt az esetet az azonnali politikai következményein túl is tanulságossá teszi, az az alapvető hiba rendkívüli hétköznapissága. A hitelesítési adatok véletlenszerű elkötelezése egy nyilvános tárházba következetesen az egyik leggyakoribb fejlesztői biztonsági hiba között szerepel. Ez startupokban, vállalatokban, nyílt forráskódú projektekben, és úgy tűnik, az ország legfőbb kiberbiztonsági ügynökségét támogató vállalkozói ökoszisztémában is előfordul.

Az intézményi adatkezelési visszásságok kongresszusi vizsgálathoz vezető mintája egyre ismerősebbé válik. Nemrég a ShinyHunters Canvas elleni adatvédelmi incidens is hasonló ívet járt be: egy vállalkozó vagy szállító nem védte meg megfelelően az érzékeny adatokat, az érintettség nyilvánosságra került, és a törvényhozók elszámoltathatóságot követeltek. A részletek különböznek, de a strukturális hiba ugyanaz. A szervezetek érzékeny hitelesítési adatokat vagy adatokat bíznak harmadik felekre, és ezek a harmadik felek nem mindig alkalmazzák ugyanazokat a szabványokat, amelyeket az elsődleges szervezet elvárásként fogalmaz meg.

A CISA számára a helyzet különösen kínos. Az ügynökség évek óta útmutatókat ad ki, amelyekben arra ösztönzi a köz- és magánszféra szervezeteit egyaránt, hogy kerüljék a titkok kódtárházakban való tárolását, rendszeresen cseréljék a hitelesítési adatokat, és alkalmazzanak automatizált keresést a nyilvánosságra kerülő kulcsok felderítésére. Az, hogy egy vállalkozója pontosan azt teszi, amit a CISA másoktól tilt, aláássa az ügynökség tekintélyét ezekben a kérdésekben, és érveket ad azoknak a kritikusoknak, akik szerint a szövetségi kiberbiztonsági helyzet inkább látszat, mint valóság.

Hogyan akadályozhatja meg, hogy saját hitelesítési adatai kerüljenek nyilvánosságra

A Nightwing-incidens hasznos felhívás mindenki számára, aki hitelesítési adatokat kezel – ami ma gyakorlatilag minden fejlesztőt, informatikai szakembert, sőt sok hétköznapi felhasználót is jelent, akik felhőszolgáltatásokra támaszkodnak vagy saját eszközeiket kezelik.

Íme néhány konkrét lépés a hitelesítési adatok kezelésének ellenőrzéséhez és javításához:

Soha ne kódoljon be hitelesítési adatokat a forráskódba. Használjon környezeti változókat vagy dedikált titkosítási eszközöket, hogy a hitelesítési adatok teljesen kimaradjanak a forrásfájlokból. Ha olyan szolgáltatást használ, amely SDK-t vagy CLI-t biztosít, ellenőrizze annak dokumentációját az ajánlott hitelesítési módszerről, amely nem igényli a kulcsok beágyazását a kódba.

Vizsgálja át a tárházakat a feltöltés előtt. A kódban lévő titkok felderítésére tervezett eszközök pre-commit hookként futhatnak, és még a távoli tárházba kerülés előtt jelzik a lehetséges szivárgásokat. A meglévő tárházak – mind a privát, mind a nyilvános – átvizsgálása szintén érdemes elvégezni.

Rendszeresen és minden feltételezett érintettség után azonnal cserélje a hitelesítési adatokat. Ha bármilyen esély van arra, hogy egy hitelesítési adat láthatóvá vált, kezelje azt feltörtként, és haladéktalanul cserélje le. Sok felhőszolgáltató lehetővé teszi új kulcs kiadását és a régi visszavonását leállás nélkül.

Ahol lehetséges, használjon rövid életű hitelesítési adatokat. A szűk jogosultságokkal rendelkező és automatikusan lejáró ideiglenes hitelesítési adatok korlátozzák a kárablakot, ha egyszer mégis nyilvánosságra kerülnek. A felhőszolgáltatók egyre inkább támogatják az identitásszövetséget és a szerepalapú hozzáférést, ami kiküszöböli a hosszú élettartamú statikus kulcsok szükségességét.

Ellenőrizze a harmadik felek hozzáférését. Ha vállalkozókat, szállítókat vagy nyílt forráskódú integrációkat használ, rendszeresen ellenőrizze, hogy milyen hitelesítési adatokat és jogosultságokat adott meg. Vonja vissza a már nem szükséges hozzáféréseket.

Mit jelent ez Önnek

A CISA vállalkozójának GitHub-on bekövetkezett hitelesítési adat-szivárgása nem csupán kormányzati probléma. Egy rendszerszintű gyengeséget tükröz abban, ahogyan minden típusú szervezet kezeli a titkokat – olyat, amely mindenkit érint, aki hitelesítési adatokat tárol kódban, felhőszolgáltatásokat vesz igénybe, vagy vállalkozókra támaszkodik érzékeny rendszerek kezeléséhez.

Tekintse ezt felhívásnak saját ellenőrzés elvégzésére. Tekintse át tárházait, ellenőrizze felhő-hozzáférési kulcsainak leltárát, és győződjön meg arról, hogy egyetlen hitelesítési adat sem él olyan helyen, ahol nem kellene. Ugyanaz a fegyelem, amelyet a CISA nyilvánosan hirdet, de úgy tűnik, belső érvényesítésében megbukott, mindenki számára elérhető – és proaktív alkalmazása töredékkörültekintéssel kerül, mint egy szivárgást követő tisztítás.

Ha az Egyesült Államok kritikus infrastruktúrájának védelmével megbízott ügynökség ilyen zavart okozó helyzetbe kerülhet egy vállalkozó alapvető hibája miatt, indokolt feltenni a kérdést: vajon a saját háza is hasonlóan rendben van-e.