Lessons Learned from CISA’s Recent GitHub Leak
Die CISA erlitt einen Datenleck, bei dem ein Auftragnehmer sensible Zugangsdaten, darunter AWS GovCloud-Schlüssel, in einem öffentlichen GitHub-Repository veröffentlichte. Betroffen sind interne CISA-Systeme und potenziell verbundene Partner. CISA empfiehlt anderen Organisationen, aus diesem Vorfall zu lernen, ihre Schlüsselverwaltung zu verbessern und klare, schnelle Meldekanäle für Sicherheitsvorfälle zu etablieren.
Die CISA erlitt einen Datenleck, bei dem ein Auftragnehmer sensible Zugangsdaten, darunter AWS GovCloud-Schlüssel und Klartextpasswörter, in einem öffentlichen GitHub-Repository veröffentlichte. Diese Offenlegung betraf interne CISA-Systeme und potenziell verbundene Partner. Der Vorfall unterstreicht die Notwendigkeit einer verbesserten Schlüsselverwaltung und schneller Meldekanäle für Sicherheitsvorfälle.
Interne CISA-Systeme und potenziell verbundene Partner. Organisationen, die AWS GovCloud nutzen oder mit Drittanbietern zusammenarbeiten, sind indirekt betroffen, da der Vorfall Best Practices für sie aufzeigt.
Dieser Vorfall zeigt, dass selbst führende Cybersicherheitsbehörden von grundlegenden Fehlern in der Schlüsselverwaltung und der Kontrolle von Drittanbietern betroffen sein können. Er unterstreicht die kritische Notwendigkeit robuster Sicherheitsprotokolle, insbesondere bei der Nutzung von Cloud-Diensten und der Zusammenarbeit mit externen Partnern.
Unautorisierter Zugriff auf AWS GovCloud-Ressourcen und andere interne Systeme durch die kompromittierten Schlüssel und Passwörter, was zu Datenexfiltration, Systemmanipulation oder Dienstunterbrechungen führen könnte.
Überprüfen und verbessern Sie die Schlüsselverwaltungspraktiken, insbesondere für Cloud-Dienste wie AWS GovCloud. Etablieren Sie klare und schnelle Meldekanäle für Sicherheitsvorfälle und schulen Sie Mitarbeiter und Auftragnehmer im sicheren Umgang mit sensiblen Daten und der Nutzung von Code-Repositories.
- ▸Überprüfen Sie alle öffentlichen Code-Repositories (z.B. GitHub, GitLab) Ihrer Organisation und Ihrer Auftragnehmer auf die versehentliche Veröffentlichung sensibler Daten (Zugangsdaten, API-Schlüssel, Konfigurationsdateien).
- ▸Validieren Sie, dass automatisierte Tools zur Erkennung von Geheimnissen (Secret Scanning) in Ihren CI/CD-Pipelines und Code-Repositories implementiert und aktiv sind und dass die Warnungen zeitnah bearbeitet werden.
- ▸Überprüfen Sie die Zugriffsrechte und Rotationsrichtlinien für alle AWS GovCloud-Schlüssel und stellen Sie sicher, dass diese den Best Practices für die Schlüsselverwaltung entsprechen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | Low | Ein Auftragnehmer veröffentlichte sensible Zugangsdaten [...] in einem öffentlichen GitHub-Repository. |
| Credential Access | T1552 Unsecured Credentials | High | sensible Zugangsdaten, darunter AWS GovCloud-Schlüssel und Klartextpasswörter, in einem öffentlichen GitHub-Repository veröffentlichte. |
| Defense Evasion | T1078 Valid Accounts | Low | unautorisierter Zugriff auf AWS GovCloud-Ressourcen und andere interne Systeme durch die kompromittierten Schlüssel und Passwörter |
- Es wird nicht spezifiziert, welche spezifischen internen CISA-Systeme betroffen waren, außer AWS GovCloud.
- Es wird nicht spezifiziert, welche Art von 'verbundenen Partnern' betroffen sein könnten.
- Es wird nicht spezifiziert, wie lange die Zugangsdaten im öffentlichen Repository verfügbar waren, bevor sie entdeckt wurden.
- Es wird nicht spezifiziert, ob die kompromittierten Zugangsdaten tatsächlich von Angreifern ausgenutzt wurden.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?