Ahora que las organizaciones están asegurando su infraestructura siguiendo las mejores prácticas de confianza cero, los atacantes se están moviendo hacia la izquierda y atacando GitHub. A principios de este mes, Okta dijo que sus repositorios privados de GitHub fueron pirateados. Cuando los líderes en autenticación y Gestión de Acceso a Identidades (IAM) son pirateados, es hora de empezar a tomar las cosas mucho más en serio. Presumiblemente, esta organización cuenta con una infraestructura de seguridad de GitHub mucho más sofisticada que su operación actual. En este momento, todo el mundo es susceptible.
Según una notificación por correo electrónico ‘confidencial’ enviada por Okta y vista por BleepingComputer, el incidente de seguridad involucra a actores de amenazas que roban el código fuente de Okta. Afortunadamente, los atacantes no obtuvieron acceso no autorizado al servicio Okta ni a los datos de los clientes, afirma la empresa. Sin embargo, el reciente ataque a LastPass nos mostró cómo una vulneración de GitHub como ésta puede provocar otra vulneración en el futuro en la que se accede a los datos de los clientes. DarkReading.com resume bastante bien las posibles consecuencias.
“Los atacantes pueden recopilar claves, contraseñas y otras credenciales codificadas que podrían almacenarse en GitHub para obtener acceso a servicios en la nube y bases de datos alojadas en Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform (GCP). Un repositorio robado puede generar propiedad intelectual, credenciales válidas y una buena lista de vulnerabilidades en el software de producción que están listas para ser explotadas.
Shiny Hunters, un grupo de ataque conocido por atacar específicamente repositorios privados de GitHub, ha violado varias empresas utilizando esta técnica y ha vendido sus datos en varios mercados de la Dark Web”.
En los últimos años, los piratas informáticos se han dado cuenta de que piratear los repositorios de GitHub es una excelente manera de escanear el código fuente en busca de vulnerabilidades o incluso abrir sus propias puertas traseras sin que los equipos se den cuenta. Si bien el acceso al portal web puede estar protegido por SSO y políticas de acceso condicional, la mayoría de las acciones con privilegios elevados se realizan a través de SSH, que generalmente está protegido por una contraseña simple o una clave SSH que no caduca y se encuentra desprotegida en la estación de trabajo de su desarrollador.
EZGIT es el primer repositorio Autoridad de certificación (CA) SSH para GitHub. EZGIT aprovecha su identidad corporativa segura (Azure AD u Okta) para autenticar al usuario en el servicio y emite un certificado a corto plazo para brindarle al usuario acceso justo a tiempo (JIT) a sus repositorios. ¡No más llaves en los escritorios de los ingenieros esperando a ser robadas por malos actores!