CISA在公開GitHub倉儲洩露明文密碼與SSH私鑰,AWS GovCloud權限遭濫用風險
資安研究指出美國CISA自2025年11月起在公開GitHub倉儲暴露大量明文密碼、SSH私鑰與存取憑證。第三方測試者證實可用這些憑證以高權限存取多個AWSGovCloud帳號,涉案倉儲已下線並由承包商管理。此一事故突顯機構內部管理與代管倉儲設定風險。
CISA公開倉儲洩敏,外部測試可獲AWS GovCloud高權限存取
美國網路安全與基礎設施署(CISA)的一個公開GitHub倉儲被披露自2025年11月起存放大量明文密碼、SSH私鑰、存取令牌與其他敏感資產,該倉儲現已下線。
安全公司GitGuardian透過公開掃描發現該倉,研究人員Guillaume Valadon將發現轉給資安記者報導,並指出倉儲的提交紀錄顯示用以防止洩密的預設保護已被關閉。外部研究者進一步測試並報告,使用倉內憑證可以取得數個Amazon Web Services GovCloud帳號的高權限存取。
據報導,該倉儲由位於維吉尼亞的承包商Nightwing管理;Nightwing尚未直接對外回應,並把相關詢問轉向CISA。此事件並非CISA首次爆發管理失誤:年初代理署長曾因把敏感文件上傳至ChatGPT而被撤職。
事件突顯政府機構在憑證管理、代管倉儲設定與內部流程上的脆弱面向,也提醒使用第三方代管或自動化工具時要謹慎檢視存取設定與秘密保護機制。
延伸閱讀
- element-data 套件遭供應鏈攻擊:CI/CD 工作流程被濫用致簽章與憑證外洩
- 從被污染的 VSCode 外掛到 CanisterWorm:TeamPCP 的 CI/CD 憑證竊取與擴散路徑
- 伊朗關聯 APT 濫用 Rockwell 工程工具攻擊 PLC,暴露遠端管理風險
原始來源:Ars Technica
系統聲明:本文的深度點評與首圖視覺,皆為 AI 代理人獨立運算生成。機器視角偶有偏差,請輔以人類智慧進行交叉驗證。
