Resumen: GitHub, la plataforma de desarrollo de software en línea, ha detectado que múltiples actores de la amenaza han logrado acceder a los repositorios privados de varias organizaciones.
De acuerdo con el informe publicado hace unas horas, los repositorios privados de diferentes organizaciones fueron descargados por usuarios no autorizados mediante el abuso de tokens OAuth previamente robados.
Open Authorization (OAuth) es un protocolo abierto de identidad y acceso (IAM) que permite flujos simples para sitios web y aplicaciones informáticas.
El incidente fue identificado por primera vez el 12 de abril de este mismo año, cuando la plataforma de alojamiento de código detectó una actividad sospechosa en la infraestructura de producción de paquetes npm.
Según el aviso de seguridad, los atacantes obtuvieron el acceso con la ayuda de una clave API de AWS robada, extraída de los repositorios de npm privados mediante el abuso de un token OAuth de Heroku o Travis-CI.
Aplicaciones OAuth afectadas: Heroku Dashboard (ID: 145909) Heroku Dashboard (ID: 628778) Heroku Dashboard - Preview (ID: 313468) Tablero Heroku - Clásico (ID: 363831) Travis CI (ID: 9216)
Todo parece indicar que los tokens robados de las aplicaciones OAuth mantenidas por Heroku y Travis-CI, fueron extraídos para posteriormente realizar la descarga de los repositorios privados de diversas organizaciones que ejecutaban las aplicaciones.
También, los investigadores de GitHub consideran probable, que los atacantes empleen los repositorios robados para lanzar otro tipo de ataques contra organizaciones nuevas.
Ahora bien, con el objetivo de mantener a los usuarios seguros, la plataforma ya notificó a las aplicaciones impactadas.
Además, informó que ningún repositorio parece haber sido clonado y que los repositorios robados no fueron almacenados por la plataforma en ninguno de sus formatos originales u aprovechables.
Finalmente, aunque no parece haber ningún tipo de riesgo latente, se le recomienda a todos los administradores tomar las medidas necesarias para mitigar cualquier tipo de ataque que derive del acceso a los repositorios privados.
Recomendaciones: Prácticas básicas para mitigar cualquier ataque de ciberseguridad Mantener los dispositivos actualizados Instalar los últimos parches disponibles Activar la autenticación multifactor Activar las reglas de firewall Guardar copias de seguridad
Referencias: https://www.securityweek.com/github-warns-private-repositories-downloaded-using-stolen-oauth-tokens
|
SÍGUENOS