Ще один день, ще один злом бази даних на основі маркерів доступу.
Цього разу жертвою (і певною мірою, звичайно, також винуватцем) є Microsoft GitHub бізнес.
GitHub стверджує, що це помітили порушення швидко, наступного дня після того, як це сталося, але до того часу шкода була завдана:
6 грудня 2022 року репозитарії з нашого
atom
,desktop
та інші застарілі організації, що належать GitHub, були клоновані за допомогою скомпрометованого персонального маркера доступу (PAT), пов’язаного з обліковим записом комп’ютера. Після виявлення 7 грудня 2022 року наша команда негайно відкликала скомпрометовані облікові дані та почала досліджувати потенційний вплив на клієнтів і внутрішні системи.
Простіше кажучи: хтось використав попередньо згенерований код доступу, отриманий невідомо де, щоб вилучити вміст різних сховищ вихідного коду, які належали самому GitHub.
Ми припускаємо, що GitHub зберігає власний код на GitHub (якщо цього не було б, це було б чимось на кшталт вотуму недовіри!), але було зламано не базову мережу чи інфраструктуру зберігання GitHub, а просто деякі з власних проектів GitHub, які там зберігалися.
Берегінги та бічний рух
Подумайте про це порушення як про шахрая, який заволодів паролем вашого архіву електронної пошти Outlook і завантажив ваші повідомлення за останній місяць.
На той момент, коли ви помітите, вашої електронної пошти вже зникне, але це не вплине безпосередньо ні на сам Outlook, ні на облікові записи інших користувачів.
Однак зауважте, що ми обережно використовуємо слово «безпосередньо» у попередньому реченні, оскільки компрометація одного облікового запису в системі може призвести до наслідків для інших користувачів або навіть для системи в цілому.
Наприклад, ваш обліковий запис корпоративної електронної пошти майже напевно містить листування від ваших колег, вашого ІТ-відділу та інших компаній.
У цих електронних листах ви могли розкрити конфіденційну інформацію про імена облікових записів, деталі системи, бізнес-плани, облікові дані для входу тощо.
Використання інтелектуальних даних про атаку з однієї частини системи для проникнення в інші частини тієї ж або інших систем на жаргоні називається бічний рух, де кіберзлочинці спочатку створюють те, що можна назвати «базою компромісу», а потім намагаються розширити свій доступ звідти.
Що взагалі є у ваших сховищах?
У випадку вкрадених баз даних із вихідним кодом, незалежно від того, зберігаються вони на GitHub чи деінде, завжди існує ризик того, що приватне сховище може містити облікові дані для доступу до інших систем або дозволити кіберзлочинцям отримати сертифікати підпису коду, які використовуються під час фактичного створення програмне забезпечення для публічного випуску.
Насправді такий вид витоку даних може бути проблемою навіть для загальнодоступних сховищ, включаючи проекти з відкритим вихідним кодом, які не є таємними та які мають бути доступні для завантаження будь-кому.
Витік даних з відкритим кодом може статися, коли розробники ненавмисно об’єднують приватні файли зі своєї мережі розробників у публічний пакет коду, який вони зрештою завантажують для доступу для всіх.
Така помилка може призвести до дуже загальнодоступного (і дуже відкритого для пошуку) витоку приватних конфігураційних файлів, приватного сервера ключі доступу, особисте маркери доступу і паролі, і навіть цілі дерева каталогів які просто опинилися не в тому місці в невідповідний час.
На краще це чи на гірше, GitHub знадобилося майже два місяці, щоб з’ясувати, скільки речей заволоділи їхні зловмисники в цьому випадку, але відповіді вже відкриті, і виглядає так:
- Шахраї отримали сертифікати підпису коду для продуктів GitHub Desktop і Atom. Теоретично це означає, що вони можуть публікувати фальшиве програмне забезпечення з офіційною печаткою Github. Зауважте, що вам не обов’язково бути наявним користувачем будь-якого з цих конкретних продуктів, щоб бути обдуреним – злочинці можуть надати імприматуру GitHub майже будь-якому програмному забезпеченню, яке їм заманеться.
- Викрадені сертифікати підпису були зашифровані, і шахраї, очевидно, не отримали паролі. На практиці це означає, що навіть якщо шахраї мають сертифікати, вони не зможуть ними користуватися, доки не зламатимуть ці паролі.
Фактори, що пом'якшують відповідальність
Це звучить як гарна новина з того, що було поганим початком, і те, що робить новини кращими:
- Лише у трьох сертифікатів не закінчився термін дії в день їх викрадення. Ви не можете використовувати прострочений сертифікат для підпису нового коду, навіть якщо у вас є пароль для розшифровки сертифіката.
- Термін дії одного викраденого сертифіката закінчився тим часом, 2023. Цей сертифікат був для підпису програм Windows.
- Термін дії другого викраденого сертифіката закінчується завтра, 2023. Це також сертифікат підпису для програмного забезпечення Windows.
- Останній сертифікат діє тільки в 2027 році. Цей призначений для підписання додатків Apple, тому GitHub каже, що це так «Співпраця з Apple для моніторингу будь-яких […] нових підписаних програм». Зверніть увагу, що шахраям все одно потрібно буде спочатку зламати пароль сертифіката.
- Усі зазначені сертифікати буде скасовано 2023. Відкликані сертифікати додаються до спеціального контрольного списку, який операційні системи (разом із програмами, такими як браузери) можуть використовувати для блокування вмісту, за який гарантують сертифікати, яким більше не слід довіряти.
- За даними GitHub, жодних несанкціонованих змін не було внесено до жодного зі сховищ, які були вилучені. Схоже, це був компроміс «тільки для читання», де зловмисники могли дивитися, але не торкатися.
Що ж робити?
Хороша новина полягає в тому, що якщо ви не користувач GitHub Desktop або Atom, вам не потрібно нічого робити негайно.
Якщо у вас є Робочий стіл GitHub, вам потрібно оновити до завтра, щоб переконатися, що ви замінили всі екземпляри програми, які були підписані сертифікатом, який буде позначено як поганий.
Якщо ви все ще використовуєте Atom (який був припинений у червні 2022 року та завершив своє існування як офіційний проект програмного забезпечення GitHub 2022 грудня 12 року), вам, як не дивно, потрібно буде знижувати до дещо старішої версії, яка не була підписана викраденим сертифікатом.
З огляду на те, що Atom уже досяг кінця свого офіційного терміну служби та більше не отримуватиме жодних оновлень безпеки, можливо, вам все одно слід замінити його. (Ультрапопулярний Visual Studio Code, який також належить Microsoft, здається, є основною причиною припинення виробництва Atom.)
Якщо ви розробник або менеджер програмного забезпечення…
…чому б не використати це як стимул піти й перевірити:
- Хто має доступ до яких частин нашої мережі розробки? Особливо для застарілих проектів або проектів, що закінчилися, чи існують застарілі користувачі, які все ще мають доступ, який їм більше не потрібен?
- Наскільки ретельно заблоковано доступ до нашого сховища кодів? Чи є у користувачів паролі або маркери доступу, які можна було б легко вкрасти або використати не за призначенням, якщо їхні власні комп’ютери було зламано?
- Хтось завантажував файли, яких там не повинно бути? Windows може ввести в оману навіть досвідчених користувачів, приховуючи розширення в кінці імен файлів, тому ви не завжди впевнені, який файл є яким. Системи Linux і Unix, включаючи macOS, автоматично приховують від перегляду (але не від використання!) будь-які файли та каталоги, які починаються з крапки (крапки).
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- Здатний
- МЕНЮ
- абсолют
- доступ
- рахунки
- Рахунки
- придбаний
- насправді
- доданий
- після
- проти
- ВСІ
- вже
- завжди
- та
- Інший
- Відповіді
- будь
- додаток
- Apple
- твердження
- додатка
- архів
- асоційований
- атом
- атака
- автор
- автоматичний
- автоматично
- фонове зображення
- поганий
- оскільки
- перед тим
- почалася
- Краще
- Блокувати
- border
- дно
- порушення
- браузери
- Створюємо
- Пакет
- бізнес
- call
- обережний
- обережно
- випадок
- Центр
- звичайно
- сертифікат
- сертифікати
- Зміни
- характер
- перевірка
- претензій
- код
- колеги
- color
- Компанії
- компроміс
- Компрометація
- комп'ютери
- довіра
- конфігурація
- містить
- зміст
- зміст
- Корпоративний
- може
- курс
- обкладинка
- тріщина
- Повноваження
- злочинці
- Круки
- Клієнти
- кіберзлочинці
- дані
- витоку даних
- Database
- базами даних
- день
- Грудень
- Розшифрувати
- відділ
- робочий стіл
- деталі
- виявлено
- Розробник
- розробників
- розробка
- безпосередньо
- каталоги
- дисплей
- Не знаю
- DOT
- вниз
- легко
- ефекти
- або
- в іншому місці
- повідомлення електронної пошти
- зашифрованих
- забезпечувати
- Весь
- особливо
- встановити
- Навіть
- все
- приклад
- існуючий
- досвідчений
- продовжити
- Розширення
- Рисунок
- філе
- Файли
- Перший
- позначений прапором
- від
- отримати
- отримання
- GitHub
- Давати
- Go
- добре
- траплятися
- сталося
- висота
- приховувати
- тримати
- hover
- Як
- Однак
- HTTPS
- негайно
- Impact
- in
- Стимул
- включати
- У тому числі
- інформація
- Інфраструктура
- Інтелект
- внутрішній
- IT
- сам
- жаргон
- відомий
- останній
- вести
- витік
- Legacy
- життя
- Linux
- замкнений
- довше
- подивитися
- ВИГЛЯДИ
- машина
- MacOS
- made
- РОБОТИ
- менеджер
- Маржа
- макс-ширина
- засоби
- повідомлення
- Microsoft
- може бути
- помилка
- пом’якшення
- монітор
- місяців
- більше
- Імена
- майже
- Необхідність
- ні
- мережу
- Нові
- новини
- нормальний
- офіційний
- ONE
- з відкритим вихідним кодом
- операційний
- операційні системи
- організації
- Інше
- прогноз
- власний
- пакет
- частина
- частини
- Пароль
- Паролі
- Пол
- period
- персонал
- місце
- плани
- plato
- Інформація про дані Платона
- PlatoData
- положення
- Пости
- потенціал
- практика
- досить
- попередній
- первинний
- приватний
- ймовірно
- Проблема
- Продукти
- програми
- проект
- проектів
- громадськість
- публічно
- публікувати
- put
- швидко
- досяг
- причина
- звільнити
- замінювати
- замінити
- Сховище
- Показали
- Risk
- то ж
- другий
- секрет
- безпеку
- оновлення безпеки
- Здається,
- пропозиція
- Повинен
- підпис
- підписаний
- підписання
- просто
- So
- Софтвер
- solid
- деякі
- Хтось
- що в сім'ї щось
- кілька
- Source
- вихідні
- спеціальний
- конкретний
- старт
- Як і раніше
- вкрали
- зберігання
- зберігати
- студія
- такі
- передбачуваний
- SVG
- система
- Systems
- команда
- Команда
- їх
- Там.
- На цьому тижні
- три
- час
- до
- знак
- Жетони
- завтра
- топ
- торкатися
- перехід
- прозорий
- Довірений
- Зрештою
- що лежить в основі
- UNIX
- Updates
- модернізація
- завантажено
- URL
- використання
- користувач
- користувачі
- різний
- версія
- Жертва
- вид
- Голосувати
- хотів
- способи
- week
- Що
- Чи
- який
- ВООЗ
- волі
- windows
- слово
- вартість
- б
- Неправильно
- вашу
- зефірнет