SecBoard
Zurück zur Übersicht

Lessons Learned from CISA’s Recent GitHub Leak

KrebsOnSecurity·
Originalartikel lesen bei KrebsOnSecurity

Die erlitt einen Datenleck, bei dem ein Auftragnehmer sensible Zugangsdaten, darunter AWS GovCloud-Schlüssel, in einem öffentlichen GitHub-Repository veröffentlichte. Betroffen sind interne CISA-Systeme und potenziell verbundene Partner. empfiehlt anderen Organisationen, aus diesem Vorfall zu lernen, ihre Schlüsselverwaltung zu verbessern und klare, schnelle Meldekanäle für Sicherheitsvorfälle zu etablieren.

Kurzfassung

Die CISA erlitt einen Datenleck, bei dem ein Auftragnehmer sensible Zugangsdaten, darunter AWS GovCloud-Schlüssel und Klartextpasswörter, in einem öffentlichen GitHub-Repository veröffentlichte. Diese Offenlegung betraf interne CISA-Systeme und potenziell verbundene Partner. Der Vorfall unterstreicht die Notwendigkeit einer verbesserten Schlüsselverwaltung und schneller Meldekanäle für Sicherheitsvorfälle.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Interne CISA-Systeme und potenziell verbundene Partner. Organisationen, die AWS GovCloud nutzen oder mit Drittanbietern zusammenarbeiten, sind indirekt betroffen, da der Vorfall Best Practices für sie aufzeigt.

Warum relevant

Dieser Vorfall zeigt, dass selbst führende Cybersicherheitsbehörden von grundlegenden Fehlern in der Schlüsselverwaltung und der Kontrolle von Drittanbietern betroffen sein können. Er unterstreicht die kritische Notwendigkeit robuster Sicherheitsprotokolle, insbesondere bei der Nutzung von Cloud-Diensten und der Zusammenarbeit mit externen Partnern.

Realistisches Worst Case

Unautorisierter Zugriff auf AWS GovCloud-Ressourcen und andere interne Systeme durch die kompromittierten Schlüssel und Passwörter, was zu Datenexfiltration, Systemmanipulation oder Dienstunterbrechungen führen könnte.

Handlungsempfehlung

Überprüfen und verbessern Sie die Schlüsselverwaltungspraktiken, insbesondere für Cloud-Dienste wie AWS GovCloud. Etablieren Sie klare und schnelle Meldekanäle für Sicherheitsvorfälle und schulen Sie Mitarbeiter und Auftragnehmer im sicheren Umgang mit sensiblen Daten und der Nutzung von Code-Repositories.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle öffentlichen Code-Repositories (z.B. GitHub, GitLab) Ihrer Organisation und Ihrer Auftragnehmer auf die versehentliche Veröffentlichung sensibler Daten (Zugangsdaten, API-Schlüssel, Konfigurationsdateien).
  • Validieren Sie, dass automatisierte Tools zur Erkennung von Geheimnissen (Secret Scanning) in Ihren CI/CD-Pipelines und Code-Repositories implementiert und aktiv sind und dass die Warnungen zeitnah bearbeitet werden.
  • Überprüfen Sie die Zugriffsrechte und Rotationsrichtlinien für alle AWS GovCloud-Schlüssel und stellen Sie sicher, dass diese den Best Practices für die Schlüsselverwaltung entsprechen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationLowEin Auftragnehmer veröffentlichte sensible Zugangsdaten [...] in einem öffentlichen GitHub-Repository.
Credential AccessT1552 Unsecured CredentialsHighsensible Zugangsdaten, darunter AWS GovCloud-Schlüssel und Klartextpasswörter, in einem öffentlichen GitHub-Repository veröffentlichte.
Defense EvasionT1078 Valid AccountsLowunautorisierter Zugriff auf AWS GovCloud-Ressourcen und andere interne Systeme durch die kompromittierten Schlüssel und Passwörter
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen internen CISA-Systeme betroffen waren, außer AWS GovCloud.
  • Es wird nicht spezifiziert, welche Art von 'verbundenen Partnern' betroffen sein könnten.
  • Es wird nicht spezifiziert, wie lange die Zugangsdaten im öffentlichen Repository verfügbar waren, bevor sie entdeckt wurden.
  • Es wird nicht spezifiziert, ob die kompromittierten Zugangsdaten tatsächlich von Angreifern ausgenutzt wurden.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?
Themen
A Little SunshineData BreachesLatest WarningsBrad LibbeyCybersecurity and Infrastructure Security AgencyGitGuardianGuillaume ValadonPreston Werntz