CISA-entreprenør Nightwing GitHub-lekkasje avslører AWS GovCloud-nøkler

CISA-entreprenør Nightwing GitHub-lekkasje avslører AWS GovCloud-nøkler

Et offentlig tilgjengelig GitHub-repositorium knyttet til regjeringsentreprenøren Nightwing har eksponert sensitiv autentiseringslegitimasjon og skytilgangsnøkler koblet til systemer brukt av Cybersecurity and Infrastructure Security Agency (CISA) og Department of Homeland Security. CISA-entreprenørens legitimasjonslekkasje på GitHub har utløst umiddelbare krav fra lovgivere, som presser CISA for en fullstendig orientering om omfanget av eksponeringen og hvilke utbedringstiltak som er iverksatt.

Hendelsen er en tydelig påminnelse om at selv byråene som er ansvarlige for å sette føderale cybersikkerhetsstandarder, er sårbare for de samme grunnleggende feilene som plager organisasjoner av enhver størrelse.

Hva ble eksponert i Nightwing GitHub-repositoriet

Repositoriet i sentrum av hendelsen var offentlig synlig på GitHub og inneholdt det forskere beskrev som privilegert legitimasjon, inkludert autentiseringstokener og skytilgangsnøkler knyttet til AWS GovCloud-miljøer brukt av CISA og DHS. AWS GovCloud er et begrenset skymiljø bygget spesifikt for sensitive amerikanske myndighetsarbeidsbelastninger, noe som gjør eksponeringen særlig betydningsfull.

Repositoriet var angivelig navngitt på en måte som antydet at det burde ha vært privat, noe som peker på en enkel, men konsekvensrik feilkonfigurasjon. Forskere som varslet om problemet, var i stand til å identifisere legitimasjonen før repositoriet ble tatt ned, men eksponeringsvindуet ser ut til å ha vart lenge nok til å reise alvorlige spørsmål om hvor raskt slike lekkasjer oppdages internt.

Lovgivere tok ikke lang tid om å reagere. Seniormedlemmer av Kongressen krever nå en direkte orientering fra CISA for å forstå hvilke systemer som kan ha blitt aksessert, om noen legitimasjon ble utnyttet, og hvorfor lekkasjen ikke ble oppdaget tidligere av byrået eller dets entreprenør.

Hvorfor lekkasjer av autentiseringslegitimasjon er spesielt farlige

Ikke alle datalekkasjer har samme risikoprofil. Å eksponere navn og e-postadresser er skadelig; å eksponere aktiv autentiseringslegitimasjon og skytilgangsnøkler er en helt annen kategori av trussel.

Når API-nøkler, tilgangstokener eller skylegitimасjon publiseres i et offentlig repositorium, kan hvem som helst som finner dem potensielt bruke dem umiddelbart. I motsetning til et passordbrudd der en hashet legitimasjon må knekkes før den blir nyttig, er en aktiv API-nøkkel eller tilgangstoken klar til å brukes i det øyeblikket den oppdages. Angripere kan autentisere seg direkte til skymiljøer, telle opp ressurser, eskalere rettigheter, eksfiltrere data eller forstyrre tjenester – alt uten å utløse de typer varsler som tradisjonelle inntrengningsforsøk kan sette i gang.

I en myndighetssammenheng forsterkes innsatsen av sensitiviteten til de involverte systemene. AWS GovCloud-instanser inneholder ofte kontrollert uklassifisert informasjon, og tilgang til disse miljøene kan gi en motstander et detaljert kart over føderal infrastruktur. Selv om ingen umiddelbar utnyttelse fant sted, er etterretningsverdien av å forstå hvordan CISAs systemer er strukturert og autentisert, betydelig.

Hvordan statlige entreprenørfeil speiler hverdagslige sikkerhetsfeil

Det som gjør denne hendelsen lærerik utover de umiddelbare politiske konsekvensene, er hvor ordinær den underliggende feilen er. Å ved uhell legge inn legitimasjon i et offentlig repositorium er konsekvent oppført blant de vanligste utviklersikkerhetsfeilene. Det skjer i oppstartsselskaper, bedrifter, åpen kildekode-prosjekter, og tilsynelatende i kontraktsøkosystemet som støtter landets fremste cybersikkerhetsbyrå.

Mønsteret med institusjonell datamisthåndtering som fører til kongressgranskning, blir stadig mer kjent. Nylig fulgte ShinyHunters-bruddet på Canvas en lignende bue: en entreprenør eller leverandør klarte ikke å beskytte sensitive data, eksponeringen ble offentlig kjent, og lovgivere krevde ansvar. Detaljene er forskjellige, men den strukturelle feilen er den samme. Organisasjoner betror sensitiv legitimasjon eller data til tredjeparter, og disse tredjepartene anvender ikke alltid de samme standardene som den primære organisasjonen hevder å opprettholde.

For CISA er det optiske bildet særlig vanskelig. Byrået har brukt år på å publisere veiledning som oppfordrer både offentlige og private organisasjoner til å unngå å lagre hemmeligheter i koderepositоrier, til å rotere legitimasjon regelmessig, og til å implementere automatisert skanning etter eksponerte nøkler. At en entreprenør gjør nøyaktig det CISA advarer andre mot å gjøre, undergraver byråets autoritet på disse spørsmålene og gir ammunisjon til kritikere som hevder at den føderale cybersikkerhetsposisjonen er performativ snarere enn praktisk.

Slik forhindrer du at din egen legitimasjon eksponeres på nettet

Nightwing-hendelsen er en nyttig påminnelse for alle som håndterer legitimasjon – noe som i dag betyr praktisk talt enhver utvikler, IT-profesjonell, og til og med mange vanlige brukere som er avhengige av skytjenester eller administrerer sine egne verktøy.

Her er konkrete trinn for å revidere og forbedre din legitimasjonshygiene:

Hardkode aldri legitimasjon i kode. Bruk miljøvariabler eller dedikerte hemmelighetsadministrasjonsverktøy for å holde legitimasjon helt utenfor kildefiler. Hvis du bruker en tjeneste som tilbyr et SDK eller CLI, sjekk dokumentasjonen for den anbefalte måten å autentisere på uten å bygge inn nøkler i kode.

Skann repositoriene dine før du pusher. Verktøy designet spesifikt for å oppdage hemmeligheter i kode kan kjøre som pre-commit-kroker og flagge potensielle lekkasjer før de noen gang når et eksternt repositorium. Det er også verdt å kjøre en skanning på eksisterende repositorier, både private og offentlige.

Roter legitimasjon regelmessig og umiddelbart etter enhver mistenkt eksponering. Hvis det er noen sjanse for at en legitimasjon har vært synlig, behandle den som kompromittert og roter den uten forsinkelse. Mange skyleverandører lar deg utstede en ny nøkkel og tilbakekalle den gamle uten nedetid.

Bruk kortlivede legitimasjoner der det er mulig. Midlertidige legitimasjoner med begrensede tillatelser og automatisk utløp begrenser skadevinduet hvis de noen gang eksponeres. Skyleverandører støtter i økende grad identitetsfederering og rollebasert tilgang som eliminerer behovet for langlivede statiske nøkler.

Revider tredjeparts tilgang. Hvis du bruker entreprenører, leverandører eller åpen kildekode-integrasjoner, gjennomgå periodisk hvilken legitimasjon og hvilke tillatelser du har gitt. Tilbakekall tilgang som ikke lenger er nødvendig.

Hva dette betyr for deg

CISA-entreprenørens legitimasjonslekkasje på GitHub er ikke bare et myndighetsproblem. Det gjenspeiler en systemisk svakhet i hvordan organisasjoner av alle typer håndterer hemmeligheter – en svakhet som påvirker alle som lagrer legitimasjon i kode, bruker skytjenester, eller er avhengige av entreprenører for å administrere sensitive systemer.

Ta dette som en oppfordring til å gjennomføre din egen revisjon. Gjennomgå repositoriene dine, sjekk beholdningen av skytilgangsnøkler, og forsikre deg om at ingen legitimasjon lever et sted den ikke burde. Den samme disiplinen som CISA forfekter offentlig, men tilsynelatende ikke klarte å håndheve internt, er tilgjengelig for alle – og det koster langt mindre å anvende den proaktivt enn å rydde opp etter en eksponering.

Hvis byrået som er ansvarlig for å beskytte kritisk amerikansk infrastruktur kan møte denne typen flauhet gjennom en entreprenørs grunnleggende feil, er det et rimelig øyeblikk å spørre om ditt eget hus er tilsvarende i orden.