Förra veckan rapporterade GitHub Security-forskare att en okänd angripare använder stulna OAuth-användartokens som utfärdats till Heroku och Travis-CI för att ladda ner data från dussintals organisationens privata arkiv, inklusive GitHub npms produktionsinfrastruktur den 12 april.
Även om det är oklart exakt hur många företag som hittills har påverkats av den här kampanjen, är det tydligt, enligt Prakash Linga, medgrundare och VD för mjukvaruleverantören BluBracket, att angripare “hittade och utnyttjade en aktiv AWS-nyckel i npm:s privat repo.”
Som ett resultat är “exponeringen här inte begränsad till GitHub och kan sträcka sig till varje app integrerad med Heroku/Travis. Det verkar som att attacken kan vara begränsad till företag som använder Heroku/Travis molnprodukter”, förklarade Linga.
Detta tyder på att organisationer som använder verktyg som Heroku och Travis som genererar OAuth-användartokens bör utvärdera säkerhetsriskerna med dessa verktyg.
Riskerna för stöld av OAuth-token
OAuth-tokens är ett av de viktigaste elementen som IT-leverantörer använder för att automatisera molntjänster som kodlager och devops-pipelines. Även om dessa tokens är användbara för att aktivera viktiga IT-tjänster, är de också sårbara för stöld.
Som Ray Kelly, fellow vid NIT Application Security, förklarar: “Om en token äventyras, i det här fallet en GitHub-token, kan en skadlig aktör stjäla företagets IP eller ändra källan för att initiera en supply chain-attack som kan sprida skadlig programvara eller stjäla PII från intet ont anande kunder.”
Även om dessa tokens i allmänhet är skyddade med stjärnor eller dolda från de flesta tjänster, kan skickliga angripare fortfarande hitta sätt att skörda dem, som att utnyttja webbläsarbaserade attacker, öppna omdirigeringar eller skadlig programvara baserade attacker.
Det är av denna anledning som GitHub rekommenderar organisationer att med jämna mellanrum granska vilka OAuth-applikationer som har auktoriserats att komma åt kritiska dataresurser, och eliminera alla som inte är nödvändiga och granska åtkomst där det är möjligt.
En ny supply chain attack?
GitHub OAuth-kampanjen delar likheter med ett antal befintliga supply chain-attacker, såsom SolarWinds och Kaseya-överträdelserna, med angriparna som riktar sig mot flera nedströmsorganisationer som en del av en samordnad kampanj.
Detta brott kommer kort efter att NCC Group rapporterade att attackerna i leveranskedjan ökade med 51 % under det sista halvåret 2021.
Samma forskning fann att de flesta organisationer var dåligt förberedda att konfrontera verkligheten i dessa attacker, med bara 34 % av säkerhetsbeslutsfattarna som sa att de skulle klassificera sin organisation som “mycket motståndskraftig”.
Kärnan i utmaningen med att säkra sig mot attacker i försörjningskedjan som OAuth-brottet är att moderna moln/hybridnätverk är otroligt komplexa och ökar attackytan till en nivå som är svår att skydda.
“Molnet har gett oss ett stort antal säkerhetsförbättringar, men bekvämligheten har en dold nackdel. Användarvänligheten gör också att det är enklare [to] göra en säkerhetsöversyn, som att misslyckas med att granska, övervaka eller förfalla OAuth-nycklar”, säger Casey Ellis, grundare och CTO på Bugcrowd.
“När OAuth-nycklar som de som används i den här attacken inte kan stjälas från en databas eller dåligt tillåtet arkiv, hämtas de ofta från klientsidan med skadlig programvara eller webbläsarbaserade attacker, samlas sedan in och aggregeras av Initial Access Brokers , och säljs vidare till dem som behöver använda dem för en specifik attack”, sa han.
VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att få kunskap om transformativ företagsteknologi och handla. Läs mer om medlemskap.
