Bulut tabanlı depo barındırma hizmeti GitHub Cuma günü, birkaç kuruluştan özel verileri yetkisiz bir şekilde indirmek için çalınan OAuth kullanıcı belirteçlerinden yararlanan isimsiz bir düşmanın kanıtını keşfettiğini açıkladı.
GitHub’dan Mike Hanley, “Bir saldırgan, NPM dahil düzinelerce kuruluştan veri indirmek için iki üçüncü taraf OAuth entegratörüne, Heroku ve Travis-CI’ye verilen çalıntı OAuth kullanıcı belirteçlerini kötüye kullandı.” ifşa bir raporda.
OAuth erişim belirteçleri genellikle Kullanılmış Bir kullanıcının verilerinin belirli bölümlerine erişim yetkisi vermek ve gerçek kimlik bilgilerini paylaşmak zorunda kalmadan birbirleriyle iletişim kurmak için uygulamalar ve hizmetler tarafından. Tek bir oturum açmadan yetkilendirmeyi geçmek için kullanılan en yaygın yöntemlerden biridir (TOA) başka bir uygulamaya hizmet.
15 Nisan 2022 itibariyle, etkilenen OAuth başvurularının listesi aşağıdaki gibidir:
- Heroku Panosu (ID: 145909)
- Heroku Panosu (ID: 628778)
- Heroku Dashboard – Önizleme (ID: 313468)
- Heroku Dashboard – Klasik (ID: 363831) ve
- Travis CI (Kimlik: 9216)
Şirket, belirteçleri orijinal, kullanılabilir biçimlerinde saklamadığı için OAuth belirteçlerinin GitHub veya sistemlerinin ihlali yoluyla elde edildiği söylenmediğini söyledi.
Ek olarak GitHub, tehdit aktörünün, bu üçüncü taraf OAuth uygulamalarını kullanarak mağdur kuruluşlardan indirilen özel depo içeriklerini, altyapılarının diğer bölümlerine dönmek için kullanılabilecek ek sırlar toplamak için analiz edebileceği konusunda uyardı.
Microsoft’a ait platform, güvenliği ihlal edilmiş bir AWS API anahtarı kullanarak NPM üretim ortamına yetkisiz erişimle karşılaştığında 12 Nisan’da saldırı kampanyasının erken kanıtlarını bulduğunu kaydetti.
Bu AWS API anahtarının, etkilenen iki OAuth uygulamasından birinden çalınan OAuth belirteci kullanılarak bir dizi belirtilmemiş özel NPM deposu indirilerek elde edildiğine inanılmaktadır. GitHub, o zamandan beri etkilenen uygulamalarla ilişkili erişim belirteçlerini iptal ettiğini söyledi.
Şirket, “Bu noktada, saldırganın herhangi bir paketi değiştirmediğini veya herhangi bir kullanıcı hesabı verisine veya kimlik bilgilerine erişim sağlamadığını değerlendiriyoruz” diyen şirket, saldırganın özel paketleri görüntüleyip görüntülemediğini veya indirip indirmediğini araştırmak için halen araştırma yürüttüğünü de sözlerine ekledi.
GitHub ayrıca, önümüzdeki 72 saat içinde bu olaydan etkilenebilecek bilinen tüm etkilenen mağdur kullanıcıları ve kuruluşları tespit etmek ve bilgilendirmek için şu anda çalıştığını söyledi.