GitHub affirme que des pirates ont piraté des dizaines d’organisations à l’aide de jetons d’accès OAuth volés

Le service d’hébergement de référentiels basé sur le cloud GitHub a révélé vendredi avoir découvert des preuves d’un adversaire anonyme capitalisant sur des jetons d’utilisateur OAuth volés pour télécharger sans autorisation des données privées de plusieurs organisations.

“Un attaquant a abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris NPM”, a révélé Mike Hanley de GitHub dans un rapport.

La cyber-sécurité

Les jetons d’accès OAuth sont souvent utilisés par les applications et les services pour autoriser l’accès à des parties spécifiques des données d’un utilisateur et communiquer entre eux sans avoir à partager les informations d’identification réelles. C’est l’une des méthodes les plus couramment utilisées pour transmettre l’autorisation d’un service d’authentification unique (SSO) à une autre application.

Au 15 avril 2022, la liste des applications OAuth concernées est la suivante :

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831) et
  • Travis CI (ID: 9216)

Les jetons OAuth n’auraient pas été obtenus via une violation de GitHub ou de ses systèmes, a déclaré la société, car elle ne stocke pas les jetons dans leurs formats d’origine utilisables.

De plus, GitHub a averti que l’acteur de la menace pourrait analyser le contenu du référentiel privé téléchargé des entités victimes à l’aide de ces applications OAuth tierces pour glaner des secrets supplémentaires qui pourraient ensuite être exploités pour pivoter vers d’autres parties de leur infrastructure.

La plate-forme appartenant à Microsoft a noté qu’elle avait trouvé les premières preuves de la campagne d’attaque le 12 avril lorsqu’elle a rencontré un accès non autorisé à son environnement de production NPM à l’aide d’une clé d’API AWS compromise.

La cyber-sécurité

Cette clé d’API AWS aurait été obtenue en téléchargeant un ensemble de référentiels NPM privés non spécifiés à l’aide du jeton OAuth volé à partir de l’une des deux applications OAuth concernées. GitHub a déclaré avoir depuis révoqué les jetons d’accès associés aux applications concernées.

“À ce stade, nous estimons que l’attaquant n’a modifié aucun package ni obtenu l’accès à des données ou informations d’identification de compte d’utilisateur”, a déclaré la société, ajoutant qu’elle enquêtait toujours pour déterminer si l’attaquant avait consulté ou téléchargé des packages privés.

GitHub a également déclaré qu’il s’efforçait actuellement d’identifier et de notifier tous les utilisateurs victimes connus et les organisations susceptibles d’être touchés par cet incident au cours des 72 prochaines heures.

.

Leave a Comment