令牌固定和滥用,但问题已包含
Github揭示了安全漏洞这使一个未知的攻击者可以从数十个私人代码存储库中下载数据。
攻击者已验证到GitHubAPI使用被盗Oauth用户令牌发给了两个第三方Oauth集成商-Heroku和Travis-CI。
在大多数情况下,受影响的Heroku或Travis Ci Oauth应用程序被授权在用户的授权下github帐户,攻击者在选择目标之前列出了所有用户的组织。
更具体地说,攻击者列出了私人存储库,以获取利息的用户帐户,然后继续克隆一些私人存储库。
“在整个GitHub平台上,我们对Heroku和Travis Ci-Mentained Oauth应用程序的OAuth用户令牌的信心很高,被盗并滥用下载属于使用这些应用程序的数十个受害者组织的私人存储库,”Github在博客文章中警告。
“我们对威胁行为者对其他行为的分析表明,参与者可能正在挖掘下载的私人存储库内容,而被盗的Oauth代币可以访问该内容,以供可以用来将[攻击]转向其他基础设施的秘密。”
时间线
Github于4月12日发现了违规行为,当时攻击者访问了Github的NPM生产基础设施,并在三天后披露了违规行为。
Github与Heroku和Travis CI一起撤销了所有Oauth代币以阻止进一步的访问权限,同时仍建议受影响的组织继续监视可疑活动。
Travis CI表示,这不相信该事件会给客户带来风险。“黑客违反了Heroku服务,并访问了用于集成Heroku和Travis CI应用程序的私人应用程序OAuth密钥。
它在博客文章。
“我们对此问题进行了彻底的调查,并没有发现侵入私人客户存储库(即源代码)的证据,因为Heroku攻击中偷走的OAuth钥匙没有提供这种访问权限。”
Heroku建议客户在日志中看到净过滤的证据,以检查存储库是否可能受到损害的任何凭据,并通过禁用帐户并根据需要旋转凭据来减轻访问。它还建议撤销或旋转任何暴露的凭证。
“为了保护客户,我们不会重新连接Github,直到我们确定我们可以安全地做到这一点,这可能需要一些时间,”警告。“我们建议客户使用替代方法,而不是等待我们恢复这种集成。”
你也许也喜欢git安全漏洞提示更新
