Sucht man im Internet nach dem Benutzernamen (Achtung: Google-Link), findet man schnell viele betroffene, selbstgehostete Gitlab-Instanzen. Das beobachtbare Verhalten ist dabei immer das selbe: Johny legt ein oder mehrere miteinander verbundene Issues an, an deren Ende sich entweder eine Datei oder ein Link auf eine Datei findet, die Gitlabs secrets.yml enthält.

In der Suche wirkt es, als hätte die Attacke am Samstag begonnen, aber der Schein kann trügen. Unabhängig davon sollten Sie wahrscheinlich Ihre Gitlab-Instanz offline nehmen, falls Sie betroffen sind, denn die secrets.yml enthält sowohl den Gitlab-Base-Key als auch den Datenbankverschlüsselungs-Key und beide sollten wohl besser geheim sein. Ich kann nicht beurteilen, inwiefern diese Schlüssel allein einen Angriffsvektor darstellen, aber sicher ist sicher, insbesondere da die Datei leicht mit der Google-Suche gefunden werden kann.

Wir überlegen uns derzeit einen durchführbaren und sicheren Weg, die Schlüssel zu rotieren. Jeder nützliche Hinweis dahingehend wird dankend angenommen.