Hackare använder stulna OAuth-åtkomsttokens för att bryta mot dussintals organisationens interna system

Source Defense unika webbapp för säkerhet på klientsidan lockar $27 miljoner


Förra veckan rapporterade GitHub Security-forskare att en okänd angripare använder stulna OAuth-användartokens som utfärdats till Heroku och Travis-CI för att ladda ner data från dussintals organisationens privata arkiv, inklusive GitHub npms produktionsinfrastruktur den 12 april.

√Ąven om det √§r oklart exakt hur m√•nga f√∂retag som hittills har p√•verkats av den h√§r kampanjen, √§r det tydligt, enligt Prakash Linga, medgrundare och VD f√∂r mjukvaruleverant√∂ren BluBracket, att angripare “hittade och utnyttjade en aktiv AWS-nyckel i npm:s privat repo.‚ÄĚ

Som ett resultat √§r “exponeringen h√§r inte begr√§nsad till GitHub och kan str√§cka sig till varje app integrerad med Heroku/Travis. Det verkar som att attacken kan vara begr√§nsad till f√∂retag som anv√§nder Heroku/Travis molnprodukter‚ÄĚ, f√∂rklarade Linga.

Detta tyder på att organisationer som använder verktyg som Heroku och Travis som genererar OAuth-användartokens bör utvärdera säkerhetsriskerna med dessa verktyg.

Riskerna för stöld av OAuth-token

OAuth-tokens √§r ett av de viktigaste elementen som IT-leverant√∂rer anv√§nder f√∂r att automatisera molntj√§nster som kodlager och devops-pipelines. √Ąven om dessa tokens √§r anv√§ndbara f√∂r att aktivera viktiga IT-tj√§nster, √§r de ocks√• s√•rbara f√∂r st√∂ld.

Som Ray Kelly, fellow vid NIT Application Security, f√∂rklarar: “Om en token √§ventyras, i det h√§r fallet en GitHub-token, kan en skadlig akt√∂r stj√§la f√∂retagets IP eller √§ndra k√§llan f√∂r att initiera en supply chain-attack som kan sprida skadlig programvara eller stj√§la PII fr√•n intet ont anande kunder.‚ÄĚ

√Ąven om dessa tokens i allm√§nhet √§r skyddade med stj√§rnor eller dolda fr√•n de flesta tj√§nster, kan skickliga angripare fortfarande hitta s√§tt att sk√∂rda dem, som att utnyttja webbl√§sarbaserade attacker, √∂ppna omdirigeringar eller skadlig programvara baserade attacker.

Det är av denna anledning som GitHub rekommenderar organisationer att med jämna mellanrum granska vilka OAuth-applikationer som har auktoriserats att komma åt kritiska dataresurser, och eliminera alla som inte är nödvändiga och granska åtkomst där det är möjligt.

En ny supply chain attack?

GitHub OAuth-kampanjen delar likheter med ett antal befintliga supply chain-attacker, såsom SolarWinds och Kaseya-överträdelserna, med angriparna som riktar sig mot flera nedströmsorganisationer som en del av en samordnad kampanj.

Detta brott kommer kort efter att NCC Group rapporterade att attackerna i leveranskedjan ökade med 51 % under det sista halvåret 2021.

Samma forskning fann att de flesta organisationer var d√•ligt f√∂rberedda att konfrontera verkligheten i dessa attacker, med bara 34 % av s√§kerhetsbeslutsfattarna som sa att de skulle klassificera sin organisation som “mycket motst√•ndskraftig”.

Kärnan i utmaningen med att säkra sig mot attacker i försörjningskedjan som OAuth-brottet är att moderna moln/hybridnätverk är otroligt komplexa och ökar attackytan till en nivå som är svår att skydda.

“Molnet har gett oss ett stort antal s√§kerhetsf√∂rb√§ttringar, men bekv√§mligheten har en dold nackdel. Anv√§ndarv√§nligheten g√∂r ocks√• att det √§r enklare [to] g√∂ra en s√§kerhets√∂versyn, som att misslyckas med att granska, √∂vervaka eller f√∂rfalla OAuth-nycklar‚ÄĚ, s√§ger Casey Ellis, grundare och CTO p√• Bugcrowd.

“N√§r OAuth-nycklar som de som anv√§nds i den h√§r attacken inte kan stj√§las fr√•n en databas eller d√•ligt till√•tet arkiv, h√§mtas de ofta fr√•n klientsidan med skadlig programvara eller webbl√§sarbaserade attacker, samlas sedan in och aggregeras av Initial Access Brokers , och s√§ljs vidare till dem som beh√∂ver anv√§nda dem f√∂r en specifik attack‚ÄĚ, sa han.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att få kunskap om transformativ företagsteknologi och handla. Läs mer om medlemskap.