CISA 管理员在 GitHub 上泄露了 AWS GovCloud 密钥

直到上周末，网络安全和基础设施安全局 (CISA) 的一名承包商维护了一个公共 GitHub 存储库，该存储库向多个高度特权的 AWS GovCloud 账户和大量内部 CISA 系统公开了凭证。安全专家表示，公共档案中包含详细说明 CISA 如何在内部构建、测试和部署软件的文件，这是近年来最严重的政府数据泄露事件之一。 5 月 15 日，KrebsOnSecurity 收到了安全公司 GitGuardian 研究员 Guillaume Valadon 的来信。 Valadon 的公司不断扫描 GitHub 和其他地方的公共代码存储库以查找泄露的秘密，并自动向违规帐户发出任何明显敏感数据泄露的警报。瓦拉登表示，他之所以联系该公司，是因为该案的业主没有做出回应，而且所暴露的信息高度敏感。由 CISA 承包商维护的现已解散的“私人 CISA”存储库的经过编辑的屏幕截图。 Valadon 标记的 GitHub 存储库被命名为“Private-CISA”，它包含大量内部 CISA/DHS 凭证和文件，包括云密钥、令牌、明文密码、日志和其他敏感 CISA 资产。 Valadon 表示，暴露的 CISA 凭据代表了安全卫生状况不佳的教科书示例，并指出，有问题的 GitHub 帐户中的提交日志显示，CISA 管理员禁用了 GitHub 中的默认设置，该设置阻止用户在公共代码存储库中发布 SSH 密钥或其他机密。 “密码以纯文本形式存储在 csv 中，备份在 git 中，显式命令禁用 GitHub 秘密检测功能，”Valadon 在一封电子邮件中写道。 “在对内容进行更深入分析之前，我真诚地认为这都是假的。这确实是我职业生涯中目睹的最严重的泄密事件。这显然是个人的错误，但我相信它可能会暴露内部做法。”其中一份名为“importantAWStokens”的暴露文件包含三台 Amazon AWS GovCloud 服务器的管理凭证。在其公共 GitHub 存储库中暴露的另一个文件“AWS-Workspace-Firefox-Passwords.csv”列出了数十个内部 CISA 系统的纯文本用户名和密码。根据 Caturegli 的说法，这些系统包括一个名为“LZ-DSO”的系统，它是该机构的安全代码开发环境“Landing Zone DevSecOps”的缩写。安全咨询公司 Seralys 的创始人 Philippe Caturegli 表示，他测试 AWS 密钥只是为了看看它们是否仍然有效，并确定暴露的帐户可以访问哪些内部系统。 Caturegli 表示，暴露 CISA 秘密的 GitHub 帐户表现出一种与个人操作员使用存储库作为工作暂存器或同步机制而不是策划的项目存储库一致的模式。 “同时使用与 CISA 相关的电子邮件地址和个人电子邮件地址表明该存储库可能已在不同配置的环境中使用，”Caturegli 观察到。 “仅凭可用的 Git 元数据并不能证明使用了哪个端点或设备。”私有 CISA GitHub 存储库公开了重要 CISA GovCloud 资源的数十个纯文本凭证。 Caturegli 表示，他验证了暴露的凭证可以以高权限级别对三个 AWS GovCloud 账户进行身份验证。他表示，该档案还包括 CISA 内部“artifactory”的纯文本凭据——本质上是他们用来构建软件的所有代码包的存储库——对于那些寻求在 CISA 系统中保持持久立足点的方法的恶意攻击者来说，这将是一个诱人的目标。 “那将是横向移动的最佳地点，”他说。 “某些软件包中存在后门，每次他们构建新的东西时，他们都会左右部署你的后门。” CISA 发言人在回答问题时表示，该机构已了解所报告的曝光情况，并正在继续调查情况。 CISA 发言人写道：“目前，没有迹象表明任何敏感数据因该事件而受到泄露。” “虽然我们要求团队成员遵守最高标准的诚信和运营意识，但我们正在努力确保实施额外的保障措施，以防止未来再次发生此类情况。”对 GitHub 帐户及其暴露密码的审查显示，“私人 CISA”存储库由 Nightwing 的一名员工维护，Nightwing 是一家位于弗吉尼亚州杜勒斯的政府承包商。Nightwing 拒绝发表评论，而是将询问转给了 CISA。 CISA 尚未回应有关数据泄露的潜在持续时间的问题，但 Caturegli 表示，私人 CISA 存储库于 2025 年 11 月 13 日创建。承包商的 GitHub 帐户于 2018 年 9 月创建。在 KrebsOnSecurity 和 Seralys 向 CISA 通报此次泄露事件后不久，包含私人 CISA 存储库的 GitHub 帐户就被下线。但卡图格利说