Haufenweise geheime AWS-Schlüssel auf GitHub entdeckt
Sicherheitsforscher haben auf der Quellcode-Hostingplattform Tausende von geheimen Schlüsseln entdeckt, die es Angreifern erlauben könnten, Konten von Nutzern der Amazon Web Services zu kapern.
- Fabian A. Scherschel
Auf der Entwicklungsplattform GitHub finden sich Tausende von geheimen Schlüsseln zu Konten von Amazon Web Services (AWS). Mit diesen Root-Schlüsseln können Angreifer den kompletten Zugriff auf die AWS-Konten erlangen. Amazon empfiehlt, solche Schlüssel gar nicht erst einzusetzen.
Den Besitzern der AWS-Konten drohen hohe Kosten
Wie die australische Webseite ITNews berichtet, hat die Sicherheitsfirma Threat Intelligence fast zehntausend solcher Root Account Access Keys auf GitHub entdeckt. Die Firma konnte bei Stichproben feststellen, dass viele der Schlüssel tatsächlich den Zugriff auf die AWS-Konten erlaubten. Im Besitz solcher Schlüssel könnte ein Angreifer Malware oder illegale Inhalte von den entsprechenden Accounts aus bereitstellen und so die eigenen Spuren verwischen. Auch gab es in der Vergangenheit immer wieder Fälle, bei denen Unbekannte gekaperte AWS-Konten dazu benutzt haben, um Krypto-Geld zu schürfen, was den Besitzern der betroffenen Konten schnell ins Geld gehen kann.
Wahrscheinlich handelt es sich um versehentlich geleakte Schlüssel. Da viele Entwickler sich offensichtlich nicht bewusst sind, dass diese Art von Zugangsdaten in ihrem Quellcode eingebaut ist, wenn sie diesen mit der Welt teilen, rät Amazon dazu, temporäre Zugangsdaten (sogenannte IAM Roles) zu verwenden. IAM Roles enthalten neben den Schlüsseln auch Tokens, die nur für bestimmte Zeit gültig sind. Mit diesen lässt sich der Zugriff auf das AWS-Konto feiner steuern.
Entwickler sollten Schlüssel nicht direkt in den Quellcode einbauen
Auch rät Amazon davon ab, jegliche Art von Schlüsseln direkt in den Code einzubetten. Laut Amazon sollten diese Schlüssel in Konfigurationsdateien aufbewahrt werden, die getrennt vom Quellcode verwaltet werden. Das macht es unwahrscheinlicher, dass diese Dateien mit dem Quellcode zusammen auf Plattformen wie GitHub landen, wo die Zugangsdaten dann für alle Welt offenliegen.
In der Vergangenheit wurden immer wieder Krypto-Schlüssel versehentlich bei GitHub offengelegt. Schon bei der Einführung von GitHubs neuer Suchfunktion Anfang 2013 fanden Spürnasen schnell haufenweise SSH-Schlüssel in vielen Projekten. Wie man solche ungewollten Informationen richtig wieder aus seinem Quellcode-Depot entfernt, erklärt eine Hilfeseite bei GitHub. (fab)
