Wie unter anderem das Magazin Bleeping Computer berichtete, ist der Quellcode aus exponierten Repositories von Dutzenden von Unternehmen aus unterschiedlichen Branchen (Technologie, Finanzen, Einzelhandel, Lebensmittel, eCommerce, Fertigung) aufgrund von Fehlkonfigurationen in der Infrastruktur öffentlich zugänglich.
Die öffentlichen Repositorien des durchgesickerten Codes listen einige klangvolle Namen wie Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (im Besitz von Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; und die Liste wächst weiter. Tillie Kottmann, Entwickler und Reverse-Engineer, hat mithilfe von verschiedenen Quellen und falsch konfigurierten Devops-Tools, die Zugang zum Quellcode erlauben, die Leaks identifiziert. Eine nicht unbeträchtliche Zahl von ihnen, ist unter dem Namen „exonfidential“ oder dem eher augenzwinkernd gemeinten Label „Confidential & Proprietary“ in einem öffentlichen Repository auf GitLab verfügbar.
Schlüsselkomponenten jeder Cybersicherheitsinitiative
„DevOps, DevSecOps und Configuration as Code, um nur einige Schlagworte zu nennen, haben alle eines gemeinsam – sie speichern Quell- und möglicherweise Konfigurationsinformationen in Code-Repositories. Die zugrundeliegende Technologie, die bei vielen Repositories verwendet wird, wurde entwickelt, um verteilt arbeitenden Teams die Zusammenarbeit zu erleichtern. Eine Vorgehensweise, die beispielsweise in der Open Source Community üblich ist. Setzt man Code-Repositories im Geschäftsumfeld ein, haben sie die gleichen Vorteile. Allerdings sollte man sie ordnungsgemäß verwalten, um zu vermeiden, dass kritische Informationen nach außen dringen.
So wird ein Mitarbeiter, der eine Reihe von QA-Tests entwickelt, seinen Code wahrscheinlich in einem Repository ablegen. Wenn dieser Code nur als Prototyp gedacht war, trifft der betreffende Entwickler möglicherweise keine Vorkehrungen, um Passwörter oder Zugriffstoken, die geheim bleiben sollten, ordnungsgemäß zu verwalten. Wenn dann noch die Identität und der Arbeitgeber des betreffenden Entwicklers bekannt sind, z.B. via LinkedIn, und auf ein Repository wie z.B. GitHub abgebildet werden können, lässt sich ein gezielter Angriff starten.
Dieser Angriff würde dann etwa nach Beurteilungsfehlern suchen, wenn bei der Veröffentlichung des Prototyp-Codes Short Cuts verwendet worden sind. Code-Repositories enthalten oftmals auch zurückliegende Bearbeitungen. Selbst, wenn ein Fehler mittels eines Patchs bereits behoben wurde, kann es passieren, dass er in der Historie erhalten bleibt.
Tatsächlich nutzt ein solches Angriffsmuster die Stärken der Technologie (historische Aufzeichnungen) als Hebel für eine potenziell ausnutzbare Schwachstelle (ein Fehler im menschlichen Urteilsvermögen). Dieses Repository of Code und das damit verbundene Angriffsmuster sollten IT- und Entwicklungsingenieure daran erinnern, Repositorykonfigurationen und Nutzung regelmässig zu überprüfen. Das sind Schlüsselkomponenten jeder Cybersicherheitsinitiative. Dazu gehört es auch, sämtliche Verzweigungsaktivitä
Mehr Informationen zum Vorfall finden Sie hier.
Tim Mackey, Synopsys, www.synopsys.com