A SEK informa que a Red Hat confirmou, em 2 de outubro deste ano, uma violação de segurança em uma instância GitLab Community Edition utilizada pela equipe Red Hat Consulting. De acordo com reportagens do portal de notícias Bleeping Computer, o grupo Crimson Collective afirmou ter invadido a infraestrutura em meados de setembro e exfiltrado aproximadamente 570 GB de dados comprimidos de mais de 28 mil repositórios privados.
O ataque começou em meados de setembro, quando os atacantes obtiveram acesso não autorizado à instância. Em 24 de setembro, o Crimson Collective criou um canal no Telegram para divulgar as suas operações. No primeiro dia de outubro, os atores de ameaça publicaram evidências da violação ao ambiente da Red Hat, compartilhando listagens dos repositórios acessados indevidamente.
Os dados exfiltrados compõem 570GB de dados comprimidos, os quais incluem Relatórios de Engajamento de Clientes (CERs) datados dos últimos cinco anos. Tais arquivos contam com dados sobre configurações, arquiteturas de rede, tokens de autenticação e outras informações que podem ser utilizadas para invasão às redes dos clientes da companhia. Adicionalmente, também há arquivos com dados sobre configurações de VPNs, inventários de servidores, entre outros.
De acordo com as investigações, mais de 800 consumidores podem ter sido afetados pela invasão. Entre as organizações cujos documentos sigilosos aparecem nas listagens divulgadas pelo grupo criminoso, estão empresas como IBM, Walmart, Siemens, Adobe, Santander, Telefonica e T-Mobile, além de órgãos governamentais, por exemplo, NIST e NSA.
O Crimson Collective alega ter tentado contato com a Red Hat através de canais oficiais para apresentar demandas de extorsão, mas recebeu uma resposta automática genérica direcionando-os ao processo padrão de reporte de vulnerabilidades.
A Red Hat, por sua vez, enfatizou que está tratando o incidente com máxima prioridade, tendo iniciado uma investigação, removido os acessos indevidos, isolado os ambientes e contatado as autoridades. A organização relatou que já implementou medidas de hardening feitas para prevenir acessos maiores.
Em comunicado oficial, a Red Hat relatou que o incidente pode ter afetado somente clientes de Consulting, os quais serão notificados diretamente pela companhia caso tenham sido impactados. A empresa afirmou que, no momento, não tem motivos “para acreditar que esse problema de segurança afete qualquer um dos outros serviços ou produtos, incluindo a cadeia de fornecimento de softwares ou o download de softwares Red Hat de canais oficiais.”
O GitLab esclareceu que sua infraestrutura gerenciada não foi afetada, enfatizando que o incidente envolveu uma instância autogerenciada da Community Edition, cuja segurança é responsabilidade do próprio cliente – neste caso, a Red Hat.
Diante desse cenário, a SEK recomenda algumas ações para organizações que mantêm relacionamento com a Red Hat Consulting:
- Contatar a Red Hat por meio da abertura de um ticket de suporte para verificar se suas informações foram expostas.
- Rotacionar todos os tokens de acesso, chaves de API, credenciais de banco de dados e segredos compartilhados com a Red Hat.
- Aplicar patches recentes para instâncias GitLab CE.
- Revisar logs de acesso em busca de atividades anômalas.
- Reforçar políticas de gestão de acessos e implementar segmentação rigorosa de sistemas críticos para limitar movimentação lateral.
- Implementar monitoramento em plataformas para detectar exfiltração de dados e acessos não autorizados.
- Capacitar colaboradores para reconhecer tentativas de phishing, tendo em vista que os vazamentos de dados podem aumentar tais ataques.
A SEK permanece à disposição para apoiar seus clientes na implementação das medidas recomendadas. Nos comprometemos a atualizar este comunicado em caso de novas informações.
