Thứ Sáu vừa qua, GitHub cho biết đã phát hiện dấu hiệu cho thấy một kẻ tấn công đã lợi dụng mã xác thực OAuth token bị đánh cắp để tải xuống trái phép dữ liệu bí mật từ một số tổ chức.
Trong một báo cáo, Mike Hanley của GitHub cho biết "kẻ tấn công đã lạm dụng mã OAuth token bị đánh cắp được cấp cho hai dịch vụ xác thực bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM".
Mã OAuth token thường được các ứng dụng và dịch vụ sử dụng để cho phép truy cập vào các nhóm dữ liệu cụ thể của người dùng mà không cần sử dụng thông tin xác thực. Đây là một trong những phương pháp phổ biến nhất được sử dụng để cấp quyền cho một dịch vụ đăng nhập một lần (SSO) trên một ứng dụng khác.
Cho đến ngày 15 tháng 4 năm 2022, danh sách các ứng dụng OAuth bị ảnh hưởng được phát hiện bao gồm:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831), and
- Travis CI (ID: 9216)
GitHub cho biết token dùng để xác thực không được lấy cắp thông qua vi phạm GitHub hoặc hệ thống của họ vì họ không lưu trữ token ở định dạng ban đầu.
Các tác nhân đe dọa có thể đang phân tích nội dung dữ liệu đã tải xuống để thu thập các thông tin bổ sung, sau đó sử dụng chúng để tấn công vào các phần khác trong cơ sở hạ tầng của các tổ chức.
NPM đã tìm thấy bằng chứng ban đầu của chiến dịch tấn công vào ngày 12 tháng 4 khi phát hiện một truy cập trái phép vào dịch vụ NPM bằng cách sử dụng khóa AWS API bị xâm phạm.
Khóa AWS API này được cho là có được bằng cách tải xuống một tập các kho lưu trữ (repositories) NPM bằng cách sử dụng mã OAuth token bị đánh cắp từ một trong hai ứng dụng bị ảnh hưởng. Sau khi sự việc được phát hiện, GitHub đã thu hồi tất cả các token được liên kết với các ứng dụng bị ảnh hưởng.
Công ty cho biết "kẻ tấn công hiện chưa sửa đổi bất kỳ package hoặc giành được quyền truy cập vào dữ liệu người dùng hay thông tin đăng nhập nào" và họ đang điều tra để xác định xem kẻ tấn công đã xem hoặc tải xuống các package bí mật hay chưa.
Heroku xác nhận đã thu hồi các access token đồng thời cho biết "cho đến khi có thông báo mới, chúng tôi sẽ không phát hành mã Oauth token từ Heroku Dashboard để ngăn chặn việc truy cập trái phép vào các kho lưu trữ GitHub."
GitHub cũng đang tiếp tục điều tra để xác định và thông báo cho tất cả người dùng và tổ chức có thể bị ảnh hưởng bởi sự cố này.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Cisco phát hành bản vá cho lỗ hổng nghiêm trọng ảnh hưởng đến Wireless LAN Controller, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống bị ảnh hưởng mà không cần xác thực.
Tín nhiệm mạng | Một lỗ hổng bảo mật trong nền tảng NFT Rarible cho phép kẻ tấn công chiếm đoạt tài khoản và đánh cắp tài sản tiền điện tử.
Tín nhiệm mạng | Google đã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong trình duyệt Chrome, một trong số đó đang bị khai thác trong thực tế.
Tín nhiệm mạng | Phát hiện một lỗ hổng LFI mới trong nền tảng viết blog Hashnode cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm như khóa SSH, địa chỉ IP máy chủ và các thông tin network khác.
Tín nhiệm mạng | Các nhà bảo trì dự án máy chủ web NGINX đã đưa ra các biện pháp giảm nhẹ để khắc phục các lỗ hổng bảo mật trong triển khai tham chiếu giao thức Lightweight Directory Access LDAP.
Tín nhiệm mạng | Mạng botnet Qbot hiện đang phát tán mã độc thông qua email lừa đảo với các tệp đính kèm dạng ZIP được bảo vệ bằng mật khẩu có chứa các tệp MSI Windows Installer độc hại.