Cabecera-v2-web.jpg

Ciberataque en Heroku y Travis-CI afectó a GitHub

28/04/2022

Github ha publicado una alerta de seguridad sobre un ciberataque que involucra tokens de usuario OAuth robados, emitidos a dos integradores de terceros Heroku y Travis-CI.

GitHub Security abordó una investigación que reveló evidencia de que un atacante está utilizando tokens de usuario OAuth robados (emitidos a Heroku y Travis-CI) para descargar datos de repositorios privados.

Esta campaña se detectó por primera vez el 12 de abril de 2022, donde atacantes habían accedido y robado datos de muchas organizaciones, específicamente tokens OAuth mantenidas por Heroku y Travis-CI.

Los tokens OAuth robados fueron utilizados para acceder a las cuentas de GitHub de los usuarios comprometidos. GitHub no cree que los atacantes hayan obtenido los tokens comprometiendo los propios sistemas de GitHub.

Las aplicaciones que utilizan tokens OAuth afectadas son:

  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku DashboardPreview (ID: 313468)
  • Heroku DashboardClassic (ID: 363831)
  • Travis-CI (ID: 9216)

El equipo de seguridad de GitHub ha efectuado su propia investigación de lo acontecido y han realizado un análisis de comportamiento del ataque, el cual revela las siguientes actividades realizadas dentro de los sistemas GitHub.com utilizando tokens de aplicación OAuth robados:

  1. El atacante se autenticó en la API de GitHub utilizando los tokens de OAuth robados emitidos a Heroku y Travis CI.
  2. Para la mayoría de las personas que tenían las aplicaciones Heroku o Travis CI OAuth, el atacante enumeró todas las organizaciones del usuario.
  3. El atacante eligió selectivamente los objetivos en función de las organizaciones enumeradas.
  4. El atacante enumeró los repositorios privados para las cuentas de usuario de interés.
  5. Finalmente, el atacante procedió a clonar algunos de esos repositorios privados.

Github identificará a sus clientes que se hayan visto afectados y notificará a los mismos. Si usted utiliza algunos de los servicios Travis-CI o Heroku integrado con su cuenta GitHub, debería recibir un correo electrónico de notificación de parte de Github específicamente si algunos de sus repositorios privados fueron afectados, en caso contrario, significa que GitHub no ha identificado su cuenta como afectada por el incidente.

Así también, instamos a los usuarios de las plataformas afectadas - Heroku y Travis CI - que continúen monitoreando las actualizaciones de las investigaciones en curso sobre los tokens OAuth comprometidos.

Recomendamos revisar los registros de auditoría de su organización y los registros de seguridad de la cuenta de GitHub de su organización en busca de actividades maliciosas anómalas y potenciales a través del siguiente enlace.

Referencias:

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png
Versión del Template 1.11