Haufenweise geheime AWS-SchlĂĽssel auf GitHub entdeckt

Sicherheitsforscher haben auf der Quellcode-Hostingplattform Tausende von geheimen Schlüsseln entdeckt, die es Angreifern erlauben könnten, Konten von Nutzern der Amazon Web Services zu kapern.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Auf der Entwicklungsplattform GitHub finden sich Tausende von geheimen Schlüsseln zu Konten von Amazon Web Services (AWS). Mit diesen Root-Schlüsseln können Angreifer den kompletten Zugriff auf die AWS-Konten erlangen. Amazon empfiehlt, solche Schlüssel gar nicht erst einzusetzen.

Wie die australische Webseite ITNews berichtet, hat die Sicherheitsfirma Threat Intelligence fast zehntausend solcher Root Account Access Keys auf GitHub entdeckt. Die Firma konnte bei Stichproben feststellen, dass viele der Schlüssel tatsächlich den Zugriff auf die AWS-Konten erlaubten. Im Besitz solcher Schlüssel könnte ein Angreifer Malware oder illegale Inhalte von den entsprechenden Accounts aus bereitstellen und so die eigenen Spuren verwischen. Auch gab es in der Vergangenheit immer wieder Fälle, bei denen Unbekannte gekaperte AWS-Konten dazu benutzt haben, um Krypto-Geld zu schürfen, was den Besitzern der betroffenen Konten schnell ins Geld gehen kann.

Wahrscheinlich handelt es sich um versehentlich geleakte Schlüssel. Da viele Entwickler sich offensichtlich nicht bewusst sind, dass diese Art von Zugangsdaten in ihrem Quellcode eingebaut ist, wenn sie diesen mit der Welt teilen, rät Amazon dazu, temporäre Zugangsdaten (sogenannte IAM Roles) zu verwenden. IAM Roles enthalten neben den Schlüsseln auch Tokens, die nur für bestimmte Zeit gültig sind. Mit diesen lässt sich der Zugriff auf das AWS-Konto feiner steuern.

Auch rät Amazon davon ab, jegliche Art von Schlüsseln direkt in den Code einzubetten. Laut Amazon sollten diese Schlüssel in Konfigurationsdateien aufbewahrt werden, die getrennt vom Quellcode verwaltet werden. Das macht es unwahrscheinlicher, dass diese Dateien mit dem Quellcode zusammen auf Plattformen wie GitHub landen, wo die Zugangsdaten dann für alle Welt offenliegen.

In der Vergangenheit wurden immer wieder Krypto-Schlüssel versehentlich bei GitHub offengelegt. Schon bei der Einführung von GitHubs neuer Suchfunktion Anfang 2013 fanden Spürnasen schnell haufenweise SSH-Schlüssel in vielen Projekten. Wie man solche ungewollten Informationen richtig wieder aus seinem Quellcode-Depot entfernt, erklärt eine Hilfeseite bei GitHub. (fab)