ハクソク

世界を動かす技術を、日本語で。

レッドハット、ハッカーがGitLabインスタンスに侵入した後のセキュリティインシデントを確認

235日前原文(bleepingcomputer.com)

概要

Red HatはGitHubではなく GitLabインスタンス の侵害を確認。 Crimson Collective と名乗るグループが 570GB超のデータ窃取 を主張。 内部リポジトリや Customer Engagement Reports(CER) が流出の可能性。 Red Hatはコンサルティング事業関連の セキュリティインシデント を認めるも、詳細は明かさず。 被害範囲や今後の対応について 調査継続中

Red Hat GitLabインスタンス侵害事件の詳細

  • Red Hatは GitHub ではなく GitLabインスタンス の侵害を正式に確認
  • このGitLabインスタンスは Red Hat Consulting 専用で運用
  • Crimson Collective と名乗る攻撃者グループが犯行声明
  • 攻撃者は 28,000件の内部開発リポジトリ から 約570GB の圧縮データを窃取と主張
  • 窃取データには 約800件のCustomer Engagement Reports(CER) が含まれる可能性
  • CERは 顧客のネットワークやプラットフォーム情報、インフラ構成、認証トークン などを含むコンサルティング文書
  • これらの情報が悪用されれば 顧客ネットワーク侵害 リスク

Red Hatの対応と声明

  • Red Hatは コンサルティング事業に関連したセキュリティインシデント を認める
  • 他サービスや製品への影響は現時点で確認されていない と説明
  • ソフトウェアサプライチェーンの完全性 にも自信を示す
  • さらなる質問には 回答を控える姿勢

攻撃者の主張と流出情報

  • 攻撃者によると、 侵入は約2週間前 に発生
  • Red HatのコードやCERから 認証トークン、データベースURI、機密情報 を発見し、これを利用して 顧客インフラへアクセス したと主張
  • Telegram上でGitLabリポジトリのディレクトリリストや2020年~2025年のCERリスト を公開
  • リストには Bank of America、T-Mobile、AT&T、Fidelity、Kaiser、Mayo Clinic、Walmart、Costco、U.S. Navy、FAA、House of Representatives など著名組織名が含まれる

身代金要求とRed Hatの対応

  • 攻撃者は Red Hatに身代金要求で接触 したが、 定型文の返信 のみ受領
    • 脆弱性報告の提出を指示されただけ
    • チケットは 法務・セキュリティ担当者 に繰り返し割り当てられる状況
  • Red Hatは 追加質問への回答を控える 姿勢を継続

その他の関連動向

  • Crimson Collectiveは最近 Nintendoのトピックページ改ざん も主張
    • Telegramチャンネルへのリンクや連絡先情報を掲載
  • 継続調査中のため、 新情報が入り次第アップデート予定

セキュリティイベント情報

  • Picus BAS Summit 開催案内
    • 最新の Breach and Attack Simulation(BAS) 技術を体験可能
    • AI活用による攻撃シミュレーション の未来を学ぶ機会
    • セキュリティ戦略を強化するための重要イベント

本件に関する情報提供先

  • Signal: 646-961-3731
  • tips@bleepingcomputer.com

Hackerたちの意見

レッドハット、すごくがっかりだよ。私たちはみんなISO27001を守ってるし、データの分離やネットワークリソースの分離もしてるのに、なんであなたたちは私たちのデータをGitHubのリポジトリに置いてるの?

データはストーリーにある通り、異なるリポジトリに分かれてる。でも、忘れないでほしいのは、企業が宣伝してることと実際にやってることは全然違うってこと。

ISO27001はエンジニアの視点じゃなくて、営業担当者の視点で見るべきだよ。理論的には、ISO27001を取得しているってことは、環境がベストプラクティスに従っていて、ある程度まともなセキュリティ体制が整っているってこと。ビジネスの人たちは、新しい顧客が$$$契約を結ぶ前にISO27001の認証を求めてくる。営業マンは、どうやってその証明書を取得するかなんて気にしない。ただ、持っていることが大事で、契約を結ぶ必要があるんだ!その部署はセキュリティを考慮して設計されていないから、ISOの要求をすべて実装するのには何ヶ月もかかる。でも、営業は今すぐ$$$が必要なんだ!CEO、CFO、CTOは一致団結して「今すぐお金!」って感じだから、監査を早く通過するプレッシャーがすごい。できることを実装して、時間がかかりすぎるものはうまくかわす。そういうのは「範囲外」か「テスト用データベース」ってことにする。監査中にMFAを実装するけど、開発者のワークフローを壊すことが分かってるから、監査が終わったらMFAをオフにしちゃう… タダダ!私たちはISO27001認証を取得しました!でも、前より安全になったわけじゃない。

修正: 公開後、レッドハットはGitHubではなく、GitLabのインスタンスの侵害であることを確認しました。タイトルとストーリーを更新しました。 > 私たちのストーリーを公開した後、レッドハットはこのセキュリティインシデントが、レッドハットコンサルティング専用のGitLabインスタンスの侵害であり、GitHubではないことを確認しました。 > レッドハットは侵害についてのさらなる質問には応じなかったが、ハッカーはBleepingComputerに対し、侵入は約2週間前に発生したと語った。

GitHubじゃなくてGitLabだよ。違いは、オンプレミスのGitLabを持てるってことかな(オンラインでもホスティングされてるけど)。つまり、RedHatはアカウントのセキュリティがかなり緩かったんじゃないかな。

「ハッカーたちはレッドハットに恐喝の要求を送ろうとしたが、セキュリティチームに脆弱性報告を提出するようにというテンプレートの返信以外は何も返ってこなかった。」これ、めっちゃ笑える。

その決定的な部分を言わなかったね。「彼らによると、作成されたチケットは何度も追加の人に割り当てられ、レッドハットの法務やセキュリティスタッフも含まれていた。」要するに、目が多ければ多いほど、すべての恐喝要求は無視されるってこと。

連絡が取れなければ、恐喝されることもない。ほんと、頭悪い行動だね!

最高の日になった!

テレグラム名: "thecrimsoncollective"

7ヶ月前、IBMがレッドハットの良いところを全部ぶっ壊すって信じてるって言ったら、ダウンボートされたんだ。これが恥ずかしいミスの後に、彼らが私を間違っていると証明してくれるのか、それともこれが今後の兆候なのか、ちょっと気になるな。

いや、これは全部レッドハットのせいだよ。IBMはコンサルタントにGitHubみたいな便利なものを使わせることは絶対にないから、彼らはクソみたいな社内アプリを使わされることになるんだ。

引退したレッドハッターです。IBMをすぐに責めるのはどうかと思います。レッドハットもIBMもセキュリティをめちゃくちゃ真剣に考えていて、それをミッションの中心に置いています。IBMは資金も豊富だから、やりたいことにはしっかりリソースを投入できます。セキュリティって本当に難しいんですよね。手順は書けるけど、人間はミスをしたり、ルールを忘れたりしますし。手順も新しい攻撃に対応するために常に更新しなきゃいけないし、終わりのない戦いです。レッドハットにこんなことが起きて残念です。今、全員が修正作業に取り組んでいると信じています。

[オフトピック用のスタブ](タイトルは今修正済み)

修正投稿: 「公開後、レッドハットはGitHubではなくGitLabアカウントの侵害であることを確認しました。」

「修正: 公開後、レッドハットはGitHubではなく、GitLabのインスタンスの侵害であることを確認しました。タイトルとストーリーを更新しました。」タイトルの更新が必要です。

GitHubじゃなくてGitLabだよ。

Red Hatから公式の声明が出たみたいだね。 https://access.redhat.com/articles/7132207