Red Hat confirmó que fue víctima de un incidente de seguridad luego de que un grupo de ciberdelincuentes, que se hace llamar Crimson Collective, vulnerara una de sus instancias de GitLab utilizada exclusivamente por su área de consultoría. Inicialmente se especuló que el ataque había afectado a GitHub, pero la propia compañía aclaró que el problema se limitó a una instalación autogestionada de GitLab Community Edition.
Los atacantes aseguran haber sustraído alrededor de 570 GB de información comprimida, equivalente a unos 28.000 repositorios internos. Entre estos archivos se encontrarían unos 800 informes de participación de clientes (CER), documentos que suelen contener detalles sobre configuraciones de red, fragmentos de código, tokens de autenticación y datos sensibles que, en manos equivocadas, podrían abrir la puerta a ataques dirigidos contra organizaciones.
En un comunicado, Red Hat indicó que el incidente está vinculado únicamente a su negocio de consultoría y que no hay indicios de que otros productos o servicios de la compañía, incluida su cadena oficial de suministro de software, se hayan visto comprometidos. “La seguridad e integridad de nuestros sistemas y de los datos de nuestros clientes son nuestra máxima prioridad”, señaló la empresa a BleepingComputer, medio especializado en seguridad informática.
El grupo atacante declaró que el acceso se produjo hace aproximadamente dos semanas. Durante ese tiempo, habrían identificado tokens, credenciales de acceso y rutas de bases de datos que podrían ser aprovechados para comprometer entornos de clientes. Asimismo, publicaron en su canal de Telegram un listado de los directorios supuestamente robados, mencionando nombres de alto perfil como Bank of America, AT&T, T-Mobile, Walmart, Costco, Mayo Clinic, la Administración Federal de Aviación e incluso la Cámara de Representantes de EE.UU.
Crimson Collective también aseguró que intentó comunicarse con Red Hat para exigir un pago de extorsión, pero que únicamente recibió respuestas automáticas, en las que se les pedía enviar la información como si se tratara de un reporte de vulnerabilidad. Según ellos, su petición fue escalada entre distintas áreas de la compañía, incluido el departamento legal.
Posteriormente, Red Hat publicó una actualización oficial en la que confirmó el acceso no autorizado a su instancia de GitLab. La compañía detalló que, tras detectar la intrusión, tomó medidas inmediatas: aislar la instancia afectada, revocar accesos, iniciar una investigación interna y contactar a las autoridades correspondientes. También anunció que ya reforzó sus medidas de seguridad para evitar incidentes similares en el futuro.
Sobre los datos comprometidos, Red Hat explicó que los informes de consultoría (CER) pueden contener especificaciones técnicas, fragmentos de código de muestra y comunicaciones relacionadas con proyectos de clientes, pero afirmó que hasta el momento no se ha identificado la exposición de información personal. Como parte de las medidas de respuesta, están notificando directamente a los clientes potencialmente afectados.
GitLab, por su lado, aclaró que su plataforma no fue vulnerada, destacando que el ataque se limitó a la instancia autogestionada por Red Hat. Recordaron además que, en este tipo de implementaciones, la seguridad depende directamente de la organización que administra la instalación.
Este incidente pone nuevamente sobre la mesa la importancia de asegurar adecuadamente las herramientas de colaboración y gestión de código fuente, especialmente cuando se utilizan versiones autogestionadas que requieren medidas adicionales de monitoreo y protección. Asimismo, evidencia el interés de los ciberdelincuentes en robar información técnica y estratégica que puede convertirse en un recurso valioso para futuros ataques.
La investigación de Red Hat continúa y la empresa aseguró que compartirá más detalles conforme se disponga de nueva información.
fuente: bleepingcomputer[.]com
