Update 3 oktober: Inmiddels heeft Red Hat een korte blog geschreven over het securityincident.
Red Hat geeft aan dat het direct na detectie van de compromis in de GitLab-instance actie heeft ondernomen. De aanvaller verloor toegang, Red Hat isoleerde de instance en men rapporteerde het incident aan de autoriteiten. Het onderzoek is nog in volle gang.
GitLab, niet direct betrokken bij het incident, heeft eveneens gereageerd. “Er heeft geen infiltratie plaatsgevonden in systemen of infrastructuur beheerd door GitLab. GitLab blijft veilig en ongemoeid.”
“Het incident heeft betrekking op Red Hat’s zelfbeheerde instantie van GitLab Community Edition, ons gratis open-core aanbod. Klanten die gratis, zelfbeheerde instanties op hun eigen infrastructuur implementeren, zijn verantwoordelijk voor het beveiligen van hun instanties, inclusief het toepassen van beveiligingspatches, het configureren van toegangscontroles en onderhoud.”
“GitLab moedigt alle zelfbeheerde klanten aan om te updaten naar de nieuwste versie van GitLab en alle beveiligingsaanbevelingen en best practices te volgen om hun instances te beveiligen.” Gebruikers kunnen volgens GitLab het handboek hier raadplegen voor assistentie.
Update 17:30 uur, 2 oktober: Red Hat heeft een correctie op het artikel aangeboden. “Het beveiligingsincident dat we onderzoeken heeft betrekking op een GitLab-instantie die uitsluitend wordt gebruikt voor Red Hat Consulting bij consultancyopdrachten, niet op GitHub”, aldus een woordvoerder van Red Hat.
Oorspronkelijk (gecorrigeerd) artikel, 2 oktober:
Data van 28.000 interne projecten bij Red Hat is gestolen. De hackersgroep Crimson Collective zegt bijna 570GB aan gegevens te hebben buitgemaakt.
De gestolen informatie zou niet alleen Red Hat raken: BleepingComputer meldt dat ook klantgegevens uit zo’n 800 Customer Engagement Reports gestolen zijn. De hackers beweren dat de inbraak ongeveer twee weken geleden plaatsvond. Customer Engagement Reports (CER’s) zijn documenten die infrastructuurdetails, configuratiegegevens, authenticatiesleutels en andere gevoelige informatie van klanten bevatten. Deze informatie kan potentieel worden misbruikt om klantennetwerken binnen te dringen.
Volgens de aanvallers hebben ze authenticatiesleutels, volledige database-URI’s en andere privé-informatie in de Red Hat-code en CER’s aangetroffen, die ze zouden hebben gebruikt om toegang te krijgen tot de infrastructuur van downstream klanten. Op Telegram heeft de hackersgroep een volledige directorylijst van gestolen GitHub-repositories gepubliceerd, samen met een lijst van klantrapporten uit de periode 2020-2025.
Bevestiging van beveiligingsincident
Red Hat heeft het securityincident bij de eigen GitLab-instance bevestigd, maar wil geen uitspraken doen over de specifieke beweringen van de aanvallers betreffende de GitHub-repositories en klantrapporten. Het bedrijf benadrukt dat er geen reden is om te geloven dat het beveiligingsprobleem gevolgen heeft voor andere Red Hat-services of -producten. Red Hat zegt zeer vertrouwd te zijn in de integriteit van zijn softwareleveringsketen.
De CER-lijst bevat organisaties uit verschillende sectoren, waaronder grote internationale namen als Bank of America, T-Mobile, AT&T, Fidelity en Walmart.
Extortiepoging
Volgens de hackers hebben zij geprobeerd contact op te nemen met Red Hat met afpersingseisen, maar ontvingen zij uitsluitend een standaardreactie waarin hen werd gevraagd om een kwetsbaarheidsrapport in te dienen bij het securityteam. Het aangemaakte ticket zou herhaaldelijk zijn doorgestuurd naar verschillende personen, inclusief medewerkers van Red Hat’s juridische en beveiligingsafdelingen.
Dezelfde groep beweerde ook verantwoordelijk te zijn voor het kort vandaliseren van Nintendo’s onderwerppagina vorige week. Red Hat heeft op verdere vragen niet gereageerd. Het bedrijf blijft benadrukken dat de beveiliging en integriteit van systemen en toevertrouwde data de hoogste prioriteit hebben.