Tot afgelopen weekend beheerde een aannemer van de Cybersecurity & Infrastructure Security Agency (CISA) een openbare GitHub-repository waarin inloggegevens van meerdere hooggeprivilegieerde AWS GovCloud-accounts en tal van interne CISA-systemen waren blootgesteld. Volgens beveiligingsexperts bevatte de openbare archiefbestanden gedetailleerde informatie over hoe CISA intern software bouwt, test en uitrolt, en wordt dit gezien als een van de ernstigste datalekken binnen de overheid van de afgelopen tijd.

Op 15 mei ontving KrebsOnSecurity een melding van Guillaume Valadon, onderzoeker bij het beveiligingsbedrijf GitGuardian. Dit bedrijf scant continu openbare code-repositories op GitHub en elders op blootgestelde geheimen en waarschuwt automatisch de betreffende accounts bij mogelijke datalekken. Valadon gaf aan contact te hebben gezocht omdat de eigenaar niet reageerde en de gelekte informatie zeer gevoelig was. De GitHub-repository, genaamd "Private-CISA", bevatte een groot aantal interne CISA- en DHS-credentials en bestanden, waaronder cloud-sleutels, tokens, wachtwoorden in platte tekst, logs en andere gevoelige CISA-assets.

Valadon noemde de blootgestelde gegevens een schoolvoorbeeld van slechte beveiligingspraktijken. Zo bleek uit de commit-logs dat de CISA-beheerder de standaardinstelling van GitHub had uitgeschakeld die voorkomt dat SSH-sleutels en andere geheimen in openbare repositories worden geplaatst. Hij schreef: "Wachtwoorden opgeslagen in platte tekst in csv-bestanden, back-ups in git, expliciete commando's om de GitHub secrets-detectie uit te schakelen. Ik dacht eerst dat het nep was, maar na nader onderzoek bleek het de ergste lek die ik in mijn carrière heb gezien. Het is duidelijk een individuele fout, maar het kan ook interne werkwijzen blootleggen."

Een van de gelekte bestanden, "importantAWStokens", bevatte administratieve inloggegevens voor drie Amazon AWS GovCloud-servers. Een ander bestand, "AWS-Workspace-Firefox-Passwords.csv", toonde gebruikersnamen en wachtwoorden in platte tekst voor tientallen interne CISA-systemen. Deze systemen omvatten onder meer "LZ-DSO", vermoedelijk de Landing Zone DevSecOps-omgeving van de organisatie voor veilige softwareontwikkeling.

Philippe Caturegli, oprichter van beveiligingsadviesbureau Seralys, testte de AWS-sleutels om te controleren of ze nog geldig waren en welke interne systemen ermee toegankelijk waren. Hij merkte op dat de GitHub-repository waarschijnlijk werd gebruikt als een werkruimte of synchronisatiemechanisme door een individuele gebruiker, in plaats van als een zorgvuldig beheerd project. Het gebruik van zowel een CISA-gerelateerd als een persoonlijk e-mailadres wijst op gebruik in verschillende omgevingen. De beschikbare metadata geeft echter geen uitsluitsel over het gebruikte apparaat.

De repository bevatte tientallen platte tekst-credentials voor belangrijke CISA GovCloud-resources. Caturegli bevestigde dat de gelekte gegevens toegang gaven tot drie AWS GovCloud-accounts met hoge privileges. Daarnaast bevatte het archief ook platte tekst-credentials voor CISA’s interne "artifactory", een opslagplaats voor softwarepakketten die gebruikt worden bij de softwarebouw. Dit vormt een aantrekkelijk doelwit voor kwaadwillenden die een blijvende toegang tot CISA-systemen willen verkrijgen. Volgens Caturegli zou een compromittering van deze omgeving het mogelijk maken om lateraal te bewegen en bijvoorbeeld achterdeurtjes in softwarepakketten te plaatsen die bij elke nieuwe build worden uitgerold.

Een woordvoerder van CISA gaf aan dat de organisatie op de hoogte is van de blootstelling en het incident verder onderzoekt.