El 2 de octubre de este año, Red Hat confirmó una brecha de seguridad en una instancia de GitLab Community Edition utilizada por el equipo de Red Hat Consulting. Según informes del portal de noticias Bleeping Computer, el grupo Crimson Collective afirmó haber violado la infraestructura a mediados de septiembre y haber extraído aproximadamente 570 GB de datos comprimidos de más de 28 000 repositorios privados.
El ataque comenzó a mediados de septiembre, cuando los atacantes obtuvieron acceso no autorizado a la instancia. El 24 de septiembre, Crimson Collective creó un canal de Telegram para dar a conocer sus operaciones. El 1 de octubre, los actores de amenazas publicaron evidencia de la violación del entorno de Red Hat, compartiendo listas de los repositorios a los que se accedió indebidamente.
Los datos extraídos comprendían 570 GB de datos comprimidos, que incluían Informes de Compromiso con el Cliente (CER) de los últimos cinco años. Estos archivos contienen datos sobre configuraciones, arquitecturas de red, tokens de autenticación y otra información que podría utilizarse para vulnerar las redes de los clientes de la empresa. Además, también hay archivos con datos sobre configuraciones de VPN, inventarios de servidores y más.
Según la investigación, más de 800 clientes podrían haberse visto afectados por la vulneración. Entre las organizaciones cuyos documentos confidenciales aparecen en las listas publicadas por el grupo criminal se encuentran empresas como IBM, Walmart, Siemens, Adobe, Santander, Telefónica y T-Mobile, así como agencias gubernamentales como el NIST y la NSA.
Crimson Collective afirma haber intentado contactar a Red Hat a través de los canales oficiales para presentar demandas de extorsión, pero recibió una respuesta automatizada genérica que los dirigía al proceso estándar de reporte de vulnerabilidades.
Red Hat, por su parte, enfatizó que está tratando el incidente con la máxima prioridad, habiendo iniciado una investigación, eliminado el acceso no autorizado, aislado los entornos y contactado a las autoridades. La organización informó que ya ha implementado medidas de refuerzo diseñadas para prevenir futuros accesos.
En un comunicado oficial, Red Hat informó que el incidente podría haber afectado únicamente a los clientes de Consultoría, quienes serán notificados directamente por la empresa en caso de verse afectados. La empresa declaró que, por el momento, no tiene motivos “para creer que este problema de seguridad afecte a ninguno de sus otros servicios o productos, incluyendo la cadena de suministro de software o la descarga de software de Red Hat desde los canales oficiales.”
GitLab aclaró que su infraestructura gestionada no se vio afectada, enfatizando que el incidente afectó a una instancia autogestionada de Community Edition, cuya seguridad es responsabilidad del propio cliente, en este caso, Red Hat.
Ante esta situación, SEK recomienda algunas acciones para las organizaciones que tienen relación con Red Hat Consulting:
- Contactar con Red Hat mediante la apertura de un ticket de soporte para determinar si su información fue expuesta.
- Rotar todos los tokens de acceso, claves de API, credenciales de base de datos y secretos compartidos con Red Hat.
- Aplicar parches recientes a las instancias de GitLab CE.
- Revisar los registros de acceso para detectar actividad anómala.
- Reforzar las políticas de gestión de acceso e implementar una segmentación estricta de los sistemas críticos para limitar el movimiento lateral.
- Implementar la monitorización de la plataforma para detectar la exfiltración de datos y el acceso no autorizado.
- Capacitar a los empleados para que reconozcan los intentos de phishing, ya que las filtraciones de datos pueden aumentar estos ataques.
SEK sigue disponible para apoyar a sus clientes en la implementación de las medidas recomendadas. Nos comprometemos a actualizar esta declaración si disponemos de nueva información.
