Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて

Heroku Shares Details on Recent GitHub Attack

2022/05/06 SecurityWeek — 今週に Platform-as-a-Service 企業の Heroku は、複数の顧客の GitHub リポジトリに不正アクセスをもたらした 、4月のサイバー攻撃に関する追加情報を公開した。この、2022年4月中旬に公開されたインシデントは、Heroku と Travis CI に対して発行された OAuth トークンが盗まれ、この CI (Continuous Integration) システムを使用している組織のリポジトリに、攻撃者がアクセス可能になったというものである。

最新のインシデント通知において GitHub は、「脅威者は、アクセス可能な全リポジトリを慎重にリストアップし、特定の組織のプライベート・リポジトリのみをダウンロードしたことから、この攻撃は高度な標的型攻撃である」と述べている。

Heroku によると、この攻撃は4月7日に始まり、Heroku マシン・アカウントの漏洩したトークンを悪用する脅威者が、ある企業のデータベースにアクセスしという。その結果として、攻撃者は顧客の GitHub 統合 OAuth トークンをダウンロードしたとのことだ。

Heroku は、「GitHub によると、脅威者は2022年4月8日にダウンロードした OAuth トークンを用いて、顧客のリポジトリに関するメタデータの列挙を開始した。そして 2022年4月9日に攻撃者は、GitHub から Heroku のプライベート・リポジトリのサブセットをダウンロードしたが、そこには、いくつかの Heroku ソースコードが含まれていた」と述べている。

GitHub は Heroku の親会社である Salesforce に対して、この不審な活動を発見した翌日の、4月13日に通知している。そして 4月16日に Heroku は、すべての GitHub 統合 OAuth トークンを取り消した。それにより、Heroku Dashboard や GitHub からアプリのデプロイするための自動化を、同社の顧客は失うことになった。Heroku は、「これらの機能を再有効化する前に、統合が安全であることを確認することに、引き続き尽力する」と述べている。

Salesforce は、このインシデントはについて、独自の調査を行った。そして、漏洩したトークンがデータベースへのアクセスにも使われ、顧客のユーザー・アカウントのハッシュ化されたパスワードが盗まれていることを発見した。そのため、アカウントを保護するためにユーザーのパスワードはリセットされ、さらに社内の Heroku 認証情報がローテーションされた。

このインシデントが公表された直後に Travis CI は、「Heroku と Travis の CI アプリケーション統合で用いられる、プライベート・アプリケーション OAuth キーが、この攻撃で漏洩したのは確かだが、そのキーにより、Travis CI 顧客のリポジトリや、Travis CI 顧客のデータへのアクセスは生じなかった」と発表している。

Travis CI は、「この問題を徹底的に調査し、Heroku 攻撃で盗まれた OAuth キーが、その種の不正アクセスを提供しないため、顧客のプライベート・リポジトリ (ソースコード) への侵入の証拠は見つからなかった。発見された内容から、弊社の顧客に対する問題やリスクではないと考えている」と述べている。

Heroku の GitHub OAuth トークンの件ですが、4月15日の「GitHub でプライベート・リポジトリ侵害:盗み出された OAuth Access Token が原因」と、5月2日の「GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという」に続く、第三弾の記事となります。今回の記事では、GitHub から Salesforce への働きかけがあったことまで紹介されていますが、依然として漏洩の原因は判明していないようです。

%d bloggers like this: