Möglicher Gitlab-Hack
Heute habe ich einen neuen und unbekannten Nutzer auf unserer Firmen-Gitlab-Instanz bemerkt: "johnyj12345". Wir haben die Instanz sofort offline genommen, da Johny offensichtlich Zugriff auf Geheimnisse hatte. Möglicherweise sollten Sie das gleiche tun.
Sucht man im Internet nach dem
Benutzernamen (Achtung:
Google-Link), findet man schnell viele betroffene, selbstgehostete
Gitlab-Instanzen. Das beobachtbare Verhalten ist dabei immer das selbe: Johny
legt ein oder mehrere miteinander verbundene Issues an, an deren Ende sich
entweder eine Datei oder ein Link auf eine Datei findet, die Gitlabs
secrets.yml
enthält.
In der Suche wirkt es, als hätte die Attacke am Samstag begonnen, aber der
Schein kann trügen. Unabhängig davon sollten Sie wahrscheinlich Ihre
Gitlab-Instanz offline nehmen, falls Sie betroffen sind, denn die secrets.yml
enthält sowohl den Gitlab-Base-Key als auch den Datenbankverschlüsselungs-Key
und beide sollten wohl besser geheim sein. Ich kann nicht beurteilen, inwiefern
diese Schlüssel allein einen Angriffsvektor darstellen, aber sicher ist sicher,
insbesondere da die Datei leicht mit der Google-Suche gefunden werden kann.
Wir überlegen uns derzeit einen durchführbaren und sicheren Weg, die Schlüssel zu rotieren. Jeder nützliche Hinweis dahingehend wird dankend angenommen.