0
0
A heroku, subsidiária da Salesforce, disse na quinta-feira que o ator que roubou os tokens OAuth de integração do GitHub heroku em abril também acessou um banco de dados interno contendo senhas hashed e salgadas pertencentes aos clientes da empresa.
A descoberta levou Heroku a forçar uma redefinição de todas as senhas de usuário comprometidas e girar credenciais internas de Heroku também. Em uma notificação de segurança, que a empresa vem atualizando constantemente desde 15 de abril, Heroku disse que também havia colocado mecanismos adicionais de detecção para mitigar problemas futuros, sem elaborar sobre o que eram.
“Continuamos trabalhando diligentemente em resposta a este incidente heroku anunciado pela primeira vez em 15 de abril de 2022”, disse o fornecedor da plataforma como serviço. “Trabalhamos com o GitHub, nossos fornecedores de inteligência de ameaças, outros parceiros do setor, e estivemos em contato com a polícia para ajudar em nossa investigação.”
Updateer: O GitHub Repo Breach
GitHub original em 13 de abril divulgou a Heroku que havia detectado um ator de ameaças baixando um subconjunto de repositórios privados do GitHub da Heroku, incluindo código-fonte, em 9 de abril. Heroku disse que o GitHub havia notificado sobre o ator de ameaças ter acesso aos tokens OAuth emitidos à empresa e usá-los para enumerar contas de clientes. Heroku descreveu os tokens como dando ao ator de ameaças ler e escrever acesso aos repositórios do cliente privado GitHub conectados a Heroku.
Em um blog de 15 de abril, o CSO do GitHub, Mike Hanley, disse que o ator de ameaças usou tokens de usuário da OAuth emitidos para Heroku e outro integrador de terceiros, Travis-CI, para baixar dados de repositórios pertencentes a dezenas de organizações, incluindo npm, o gerente de pacotes de nó usado por milhões de desenvolvedores em todo o mundo.
Hanley disse que a investigação do GitHub mostrou que os atacantes também mineraram o conteúdo dos repositórios privados do GitHub baixados para dados que poderiam ser usados para atacar outras infraestruturas. Ele acrescentou que os ataques pareciam altamente visados por causa da maneira como os atacantes usavam os tokens roubados do OAuth: Primeiro, eles listaram todas as organizações impactadas, depois selecionaram repositórios privados de interesse e os clonaram.
A investigação de Heroku sobre o incidente mostrou que o ator de ameaças havia usado um token OAuth roubado associado a uma “conta de máquina” interna para acessar um banco de dados Heroku contendo tokens OAuth que são usados para a integração do Cliente GitHub.
O ator de ameaças teve acesso ao banco de dados Heroku em 7 de abril e baixou os tokens armazenados — em seguida, os usou para baixar dados de clientes dois dias depois, disse Heroku. Após essa descoberta, a Heroku revogou todos os seus tokens OAuth de integração do GitHub para impedir que os clientes implantassem aplicativos via GitHub usando o painel ou automação da Heroku.
Impacto mais amplo do que inicialmente assumido
Heroku na quinta-feira disse que sua investigação em andamento sobre a violação mostrou que o invasor havia usado o mesmo token OAuth de conta de máquina para acessar o banco de dados interno contendo os nomes de usuário e senhas hashed pertencentes aos clientes da empresa.
O incidente destacou por que as organizações precisam prestar muita atenção à segurança de seus mecanismos de autenticação do OAuth, dizem especialistas em segurança.
Casey Bisson, chefe de relações com produtos e desenvolvedores da BluBracket, diz que um ataque usando tokens OAuth pode interagir com o serviço que emitiu os tokens usando todas as permissões que foram concedidas ao cliente original. “Pessoas e empresas dependem de integrações da OAuth para permitir com segurança que outro serviço acesse o código em repositórios privados, como é necessário para suportar testes de CI e executar relatórios de cobertura de código”, diz ele, apontando para dois exemplos.
OAuth: Melhor Proteção de contas, desde que os Tokens sejam seguros
Em comparação com a alternativa de compartilhar senhas entre os serviços, os tokens OAuth permitem um compartilhamento de dados mais seguro. Por exemplo, se fossem senhas roubadas, o nível de acesso que os invasores poderiam ter ganho provavelmente seria ainda maior. E a mitigação inicial e a correção a longo prazo se tornariam mais complexas, diz Bisson.
No entanto, os tokens OAuth são comumente usados para automatizar serviços de nuvem, como repositórios de código e pipelines DevOps, observa Ray Kelly, membro da NTT Application Security. Assim, um ator mal-intencionado com um token roubado pode roubar IP corporativo ou modificar código-fonte em repositórios como o GitHub. Ou eles poderiam usá-lo para espalhar malware ou roubar dados confidenciais de organizações, diz ele. “Cuidados especiais devem ser sempre tomados quando se trata de proteger tokens. Eles nunca devem estar disponíveis publicamente ou compartilhados fora da organização”, diz Kelly.
O próprio GitHub disse que, a partir do final de 2023, exigiria que todos os desenvolvedores que contribuíssem com código para o repositório usassem autenticação multifatorial para acessar suas contas. A empresa descreveu-o como um movimento projetado para reforçar a segurança do código e IP armazenados nos repositórios do GitHub em meio a uma onda de ataques direcionados à cadeia de fornecimento de software.
FONTE: DARK READING