黑客用GitHub用戶令牌從數十家企業內部系統竊取信息

上周，GitHub安全研究人員報告稱，4月12日，一名未知的攻擊者使用被盜的Heroku和Travis CI維護的第三方OAuth用戶令牌從數十家企業（包括npm）的私有存儲庫中下載數據。

雖然目前尚不清楚究竟有多少企業受到了此次活動的影響，但根據軟件供應鏈保護提供商BluBracket的說法，可以確認的是攻擊者“利用了npm私有庫中的AWS密鑰。”

因此，此次曝光的數據泄露不僅限于GitHub，還可能波及集成了Heroku/Travis的所有應用程序。使用Heroku和Travis生成OAuth用戶令牌的企業應該盡快評估這些工具帶來的安全風險。

OAuth令牌被盜的風險

OAuth令牌是IT供應商用于自動化云服務（如代碼存儲庫和devops管道）的首選方法之一。但是，雖然這些令牌對于關鍵IT服務很有用，但它們也很容易被盜。

正如NIT Application Security研究員Ray Kelly所言：“如果令牌被泄露，例如GitHub令牌，攻擊者可以竊取公司知識產權IP，或修改源代碼發起傳播惡意軟件或竊取個人隱私信息的供應鏈攻擊。”

雖然這些令牌通常對大多數服務不可見，但熟練的攻擊者仍然可以找到獲取它們的方法，例如基于瀏覽器的攻擊、開放重定向或基于惡意軟件的攻擊。

正是出于這個原因，GitHub建議企業用戶定期審查哪些OAuth應用程序已被授權訪問關鍵數據資源，刪除不必要的，并在可能的情況下審核訪問權限。

新的供應鏈攻擊？

GitHub OAuth令牌泄露事件與許多重大供應鏈攻擊有相似之處，例如SolarWinds和Kaseya漏洞，攻擊者可對多個下游組織發起攻擊。

根據NCC集團的報告，供應鏈攻擊在2021年下半年同比增加了51%。

該報告還發現，大多數組織都沒有準備好面對供應鏈攻擊，只有34%的安全決策者表示他們的組織有足夠的“彈性”。

防御供應鏈攻擊（例如OAuth令牌濫用）的核心挑戰在于，現代云/混合網絡非常復雜，攻擊面擴大到難以保護的水平。

“云為我們帶來了大量的安全改進，但易用性本身隱藏缺點。易用性容易導致疏忽，例如未能審計、監控或OAuth密鑰過期，”Bugcrowd的創始人兼首席技術官Casey Ellis說道：“當此類攻擊中使用的OAuth密鑰無法從數據庫或權限不足的存儲庫中竊取時，攻擊者還會使用惡意軟件或基于瀏覽器的攻擊從客戶端收集它們，然后由初始訪問代理收集和匯總，并轉售給那些想要進行特定攻擊的人。”

（來源：@GoUpSec）