GitHub: Siber korsanlar onlarca firmayı hedeflemek için OAuth Erişim Token’larını kullandı

GitHub, saldırganların popüler üçüncü taraf OAuth entegratörleri olan Heroku ve Travis-CI’ye verilen OAuth kullanıcı token’larının kötüye kullandığını ortaya çıkardı. 

GitHub, geçtiğimiz günlerde, kimliği belirsiz bir siber korsan grubunun, onlarca kurumdan yasa dışı olarak özel verileri indirmek için Heroku ve Travis-CI’ye verilen çalıntı OAuth kullanıcı token’larından yararlandığına dair kanıt bulduğunu açıkladı.

GitHub Baş Güvenlik Sorumlusu Mike Hanley, etkilenen kuruluşların NPM’yi içerdiğini belirtti. GitHub kullanıcıları ve GitHub’ın kendisi, hedeflenen entegratörler tarafından sağlanan uygulamaları kullandı. Saldırı ilk olarak 12 Nisan 2022’de tespit edildi.

Mike Hanley, tehdit aktörünün GitHub’dan ödün vererek bu belirteçleri elde etmediğini iddia ediyor.

OAuth Erişim Simgeleri nedir?

OAuth, kullanıcı verilerine erişim yetkisi vermek ve kimlik bilgilerini paylaşmadan birbirleriyle iletişim kurmak için farklı hizmetler ve uygulamalar tarafından kullanılan erişim token’larıdır. Bu, bir tek oturum açma/SSO hizmetinden başka bir uygulamaya yetki geçirmek için standart bir yöntemdir. 15 Nisan 2022 itibarıyla etkilenen OAuth başvurularının listesi aşağıdakileri içerir:

Travis CI (Kimlik: 9216)

Heroku Panosu (ID: 145909)

Heroku Panosu (ID: 628778)

Heroku Dashboard – Önizleme (ID: 313468)

Heroku Dashboard – Klasik (ID: 363831)

İyileştirme önlemleri

Microsoft’a ait GitHub, güvenliği ihlal edilmiş bir AWS API anahtarı aracılığıyla NPM üretim ekosistemine yetkisiz erişimle karşılaştıktan sonra saldırı kampanyasını belirlediğini belirtti. Sözde, çalınan OAuth token’larından yararlanan bir dizi belirtilmemiş özel NPM deposu indirilerek elde edildi. GitHub, etkilenen uygulamalarla bağlantılı erişim token’larını iptal etti.

GitHub ayrıca, herhangi bir kullanıcı kimlik bilgilerine veya kullanıcı hesabı verilerine erişim kazandığına dair bir kanıt olmadığını kaydetti. Şirket şu anda saldırganın özel paketleri görüntüleyip görüntülemediğini veya indirip indirmediğini araştırıyor. Ayrıca şirket, etkilenen tüm mağdur kullanıcıları/kuruluşları bilgilendireceğini söyledi.