• Live Now (Bắt đầu cập nhật vào 13:19:13 13/04/2022) | Từ cũ tới mới | Bài viết nên xem bằng App DBlog
13:19 13/04/2022
Chào mừng các bạn đang theo dõi chương trình cập nhật vụ Hack vào các kho dữ liệu của GitHub do sơ hở của các bên thứ ba, chúng tôi sẽ cập nhật thông tin mới nhất tại đây
Bản thân chúng tôi cũng là một đơn vị bị ảnh hưởng khi mã nguồn cơ sở phần mềm CMS quản lí đăng bài của chúng tôi cũng dùng GitHub và deploy trên Heroku!
Thôi không để các bạn đợi lâu, chúng ta cùng bắt đầu vào diễn biến chính!
Vụ việc bắt đầu cũng có thể đã khá lâu, được đưa ra ánh sáng vào ngày 12 tháng 4 khi GitHub phát hiện ra các dấu hiệu cho thấy một tác nhân độc hại đã tận dụng mã thông báo người dùng OAuth bị đánh cắp được cấp bởi họ cho Heroku và Travis-CI để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM
09:29 19/04/2022
Nền tảng thuộc sở hữu của Microsoft cho biết họ sẽ bắt đầu cảnh báo khách hàng kịp thời nếu cuộc điều tra đang diễn ra đã xác định thêm các nạn nhân. Hơn nữa, họ cảnh báo rằng kẻ thù cũng có thể đang đào sâu vào các kho lưu trữ cho các bí mật có thể được sử dụng trong các cuộc tấn công khác.
Heroku, đã rút hỗ trợ integration với GitHub sau sự cố, khuyến nghị người dùng có tùy chọn tích hợp triển khai ứng dụng của họ qua nền Git hoặc các nhà cung cấp lưu trữ mã nguồn có-thể-chạy cho việc gỡ lỗi khác như GitLab hoặc BitBucket.
Nhà cung cấp dịch vụ tích hợp liên tục Travis CI, trong một tư vấn tương tự được công bố vào thứ 2, tuyên bố rằng họ đã "thu hồi tất cả các khóa ủy quyền và mã thông báo ngăn chặn bất kỳ quyền truy cập nào vào hệ thống của chúng tôi."
Và theo cập nhật mới nhất, các kho lưu trữ riêng tư cũng có thể đã bị truy cập
09:56 19/04/2022 từ GitHub Blog
Nguồn: https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
Cập nhật ngày 18 tháng 4 năm 2022: GitHub đã gửi thông báo cho các nạn nhân được biết đến của hành vi trộm cắp mã thông báo OAuth của bên thứ ba.
Vào ngày 12 tháng 4, GitHub Security đã bắt đầu một cuộc điều tra phát hiện ra bằng chứng cho thấy một kẻ tấn công đã lạm dụng mã thông báo người dùng OAuth bị đánh cắp được phát hành cho hai nhà tích hợp OAuth của bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm npm. Các ứng dụng được duy trì bởi các nhà tích hợp này đã được sử dụng bởi người dùng GitHub, bao gồm cả github. Chúng tôi không tin rằng kẻ tấn công đã có được các token này thông qua sự thỏa hiệp của GitHub hoặc các hệ thống của nó, bởi vì các token được đề cập không được GitHub lưu trữ ở định dạng ban đầu, có thể sử dụng được. Sau khi điều tra ngay lập tức, chúng tôi đã tiết lộ những phát hiện của chúng tôi cho Heroku và Travis-CI vào ngày 13 và 14 tháng 4; chi tiết hơn có sẵn dưới đây và chúng tôi sẽ cập nhật blog này khi chúng tôi tìm hiểu thêm.
Nhìn trên toàn bộ nền tảng GitHub, chúng tôi có niềm tin cao rằng các token người dùng OAuth bị xâm phạm từ các ứng dụng OAuth do Heroku và Travis-CI duy trì đã bị đánh cắp và lạm dụng để tải xuống các kho lưu trữ riêng tư thuộc hàng chục tổ chức nạn nhân đang sử dụng các ứng dụng này. Phân tích của chúng tôi về hành vi khác của tác nhân đe dọa cho thấy các diễn viên có thể đang khai thác nội dung kho lưu trữ riêng tư đã tải xuống, mà mã thông báo OAuth bị đánh cắp có quyền truy cập, cho các bí mật có thể được sử dụng để xoay quanh cơ sở hạ tầng khác.
Các ứng dụng OAuth bị ảnh hưởng đã biết kể từ ngày 15 tháng 4 năm 2022:
- Bảng điều khiển Heroku (ID: 145909)
- Bảng điều khiển Heroku (ID: 628778)
- Bảng điều khiển Heroku – Xem trước (ID: 313468)
- Bảng điều khiển Heroku – Cổ điển (ID: 363831)
- Travis CI (ID: 9216)
Đây là trích đoạn cập nhật của GitHub vào ngày 12 tháng Tư năm 2022
10:09 19/04/2022 từ GitHub Blog
Tác động đến GitHub.com và npm
Phát hiện ban đầu liên quan đến chiến dịch này xảy ra vào ngày 12 tháng 4 khi GitHub Security xác định quyền truy cập trái phép vào cơ sở hạ tầng sản xuất NPM của chúng tôi bằng cách sử dụng khóa API AWS bị xâm phạm. Dựa trên phân tích tiếp theo, chúng tôi tin rằng khóa API này đã thu được bởi kẻ tấn công khi họ tải xuống một bộ kho lưu trữ npm riêng tư bằng cách sử dụng mã thông báo OAuth bị đánh cắp từ một trong hai ứng dụng OAuth của bên thứ ba bị ảnh hưởng được mô tả ở trên. Sau khi phát hiện ra hành vi trộm cắp rộng hơn các token OAuth của bên thứ ba không được GitHub hoặc NPM lưu trữ vào tối ngày 13 tháng 4, chúng tôi ngay lập tức hành động để bảo vệ GitHub và NPM bằng cách thu hồi các token liên quan đến GitHub và việc sử dụng nội bộ các ứng dụng bị xâm nhập này của NPM.
Chúng tôi tin rằng hai tác động đối với NPM là truy cập trái phép và tải xuống các kho lưu trữ riêng tư trong tổ chức NPM về GitHub.com và quyền truy cập tiềm năng vào các gói NPM khi chúng tồn tại trong bộ nhớ AWS S3. Tại thời điểm này, chúng tôi đánh giá rằng kẻ tấn công đã không sửa đổi bất kỳ gói nào hoặc có quyền truy cập vào bất kỳ dữ liệu hoặc thông tin đăng nhập nào của tài khoản người dùng. Chúng tôi vẫn đang làm việc để hiểu xem kẻ tấn công đã xem hoặc tải xuống các gói riêng tư hay không. npm sử dụng cơ sở hạ tầng hoàn toàn tách biệt với GitHub.com; GitHub không bị ảnh hưởng trong cuộc tấn công ban đầu này. Mặc dù cuộc điều tra vẫn tiếp tục, chúng tôi không tìm thấy bằng chứng nào cho thấy các repos tư nhân thuộc sở hữu của GitHub khác đã được nhân bản bởi kẻ tấn công bằng cách sử dụng mã thông báo OAuth của bên thứ ba bị đánh cắp.
Khi GitHub xác định các token OAuth của bên thứ ba bị đánh cắp ảnh hưởng đến người dùng GitHub, GitHub đã thực hiện các bước ngay lập tức để phản hồi và bảo vệ người dùng. GitHub đã liên lạc với Heroku và Travis-CI để yêu cầu họ bắt đầu điều tra bảo mật của riêng họ, thu hồi tất cả các token người dùng OAuth liên quan đến các ứng dụng bị ảnh hưởng và bắt đầu làm việc để thông báo cho người dùng của chính họ.
GitHub vẫn tham gia chặt chẽ với cả hai tổ chức trong nỗ lực hỗ trợ các nỗ lực điều tra và phục hồi của họ và bảo vệ khách hàng chia sẻ tốt hơn.
GitHub hiện đang làm việc để xác định và thông báo cho tất cả những người dùng và tổ chức nạn nhân bị ảnh hưởng đã biết mà chúng tôi đã phát hiện ra thông qua phân tích của chúng tôi trên GitHub.com. Những khách hàng này sẽ nhận được email thông báo từ GitHub với các chi tiết bổ sung và các bước tiếp theo để hỗ trợ phản hồi của riêng họ trong vòng 72 giờ tới.
Đây là trích đoạn cập nhật của GitHub
16:43 22/04/2022
Kể từ 7:33 PM UTC vào ngày 22 tháng 4 năm 2022, chúng tôi đã thông báo cho các nạn nhân của chiến dịch này mà chúng tôi đã xác định là có chi tiết kho lưu trữ được liệt kê bằng mã thông báo ứng dụng OAuth bị đánh cắp, nhưng KHÔNG có nội dung lưu trữ được tải xuống.
Hoạt động niêm yết kho lưu trữ được thực hiện bởi kẻ tấn công thông qua việc lạm dụng mã thông báo người dùng OAuth của bên thứ ba được duy trì bởi Heroku và Travis CI. Chúng tôi không tin rằng kẻ tấn công đã có được các token này thông qua sự thỏa hiệp của GitHub hoặc hệ thống của nó, bởi vì các token được đề cập không được GitHub lưu trữ ở định dạng ban đầu, có thể sử dụng được của chúng có thể bị kẻ tấn công lạm dụng.
Hoạt động được thực hiện bằng cách sử dụng /user/repos và /orgs/{org}/repos của GitHub API endpoints. Tài liệu của chúng tôi đưa ra các ví dụ về dữ liệu được trả về từ các yêu cầu đến các điểm cuối này:
00:23 28/04/2022
Kể từ 5:00 chiều UTC ngày 27 tháng 4 năm 2022, chúng tôi đang trong quá trình gửi thông báo dự kiến cuối cùng cho GitHub.com khách hàng đã tích hợp ứng dụng Heroku hoặc Travis CI OAuth được ủy quyền trong tài khoản GitHub của họ.
Phân tích của GitHub về hành vi của kẻ tấn công cho thấy các hoạt động sau đây được thực hiện trên GitHub.com bằng cách sử dụng mã thông báo ứng dụng OAuth bị đánh cắp:
1. Kẻ tấn công đã xác thực với API GitHub bằng cách sử dụng các token OAuth bị đánh cắp được cấp cho Heroku và Travis CI.
2. Đối với hầu hết những người có các ứng dụng Heroku hoặc Travis CI OAuth bị ảnh hưởng được ủy quyền trong tài khoản GitHub của họ, kẻ tấn công đã liệt kê tất cả các tổ chức của người dùng.
3. Kẻ tấn công sau đó chọn lọc các mục tiêu dựa trên các tổ chức được liệt kê.
4. Kẻ tấn công liệt kê các kho lưu trữ riêng tư cho các tài khoản người dùng quan tâm.
5. Kẻ tấn công sau đó tiến hành nhân bản một số kho lưu trữ riêng tư đó.
Mô hình hành vi này cho thấy kẻ tấn công chỉ liệt kê các tổ chức để xác định các tài khoản để nhắm mục tiêu có chọn lọc để liệt kê và tải xuống các kho lưu trữ riêng tư. GitHub tin rằng các cuộc tấn công này được nhắm mục tiêu cao dựa trên thông tin có sẵn và phân tích của chúng tôi về hành vi của kẻ tấn công bằng cách sử dụng các token OAuth bị xâm nhập được cấp cho Travis CI và Heroku.
Sau loạt thông báo này, GitHub sẽ hoàn thành thông báo trực tiếp cho từng người dùng bị ảnh hưởng mà chúng tôi có thể phát hiện lạm dụng bằng cách sử dụng mã thông báo OAuth bị đánh cắp.
Khách hàng cũng nên tiếp tục theo dõi Heroku và Travis CI để cập nhật về các cuộc điều tra của riêng họ về các ứng dụng OAuth bị ảnh hưởng
12:29 28/04/2022
Vậy là đã (tạm) kết thúc bài cập nhật. Nhưng chúng tôi sẽ tiếp tục cập nhật vụ việc cho người dùng Heroku! Bạn có thể xem tại Link dưới đây: Cập nhật động thái mới nhất của Heroku trong vụ Hack bằng OAuth (dblog-it.blogspot.com)
• End Live (Kết thúc cập nhật vào 12:30 28/04/2022)
0 Nhận xét