CISA, credenziali AWS GovCloud esposte su GitHub per mesi

Un contractor CISA ha esposto credenziali AWS GovCloud e password in chiaro su GitHub per mesi: l'agenzia federale scopre che la governance è la vera falla.

Contenuto

CISA, credenziali AWS GovCloud esposte su GitHub per mesi
CISA, credenziali AWS GovCloud esposte su GitHub per mesi

Un contractor federale impiegato dalla società Nightwing ha mantenuto attivo, a partire dal 13 novembre 2025, un repository GitHub pubblico denominato “Private-CISA”. Al suo interno erano contenute credenziali amministrative per tre account Amazon AWS GovCloud e decine di password interne in plaintext. La segnalazione di Guillaume Valadon, analista presso GitGuardian, è giunta alla testata KrebsOnSecurity il 15 maggio 2026, dopo che il proprietario del repository aveva ignorato sistematicamente gli alert automatici e disabilitato intenzionalmente la funzione nativa di rilevamento secrets della piattaforma.

L'incidente non nasce da un'intrusione esterna o da un attacco hacker sofisticato, ma dalla persistenza di una configurazione erronea aggravata dal bypass dei protocolli di sicurezza standard. Per mesi, dati sensibili dell'agenzia preposta alla protezione delle infrastrutture critiche statunitensi sono rimasti accessibili a chiunque. La gravità del caso risiede nella combinazione tra errore umano e fallimento dei processi di auditing sui subfornitori, evidenziando una vulnerabilità strutturale nella gestione delle identità e degli accessi all'interno di ambienti cloud governativi altamente protetti.

Key Takeaways
  • Esposizione prolungata: Un repository pubblico ha ospitato segreti CISA dal 13 novembre 2025 fino a metà maggio 2026.
  • Bypass dei controlli: Il contractor ha disabilitato manualmente le funzioni di sicurezza di GitHub per caricare credenziali e password in chiaro.
  • Latenza di revoca: Le chiavi amministrative AWS sono rimaste valide per 48 ore dopo la rimozione del repository dal web.
  • Rischio Supply Chain: L'esposizione includeva l'accesso all'artifactory interno, potenzialmente permettendo l'iniezione di codice malevolo nei processi di build.
FACTS: Elementi chiave dell'esposizione
  • Repository: “Private-CISA”, pubblico dal 13 novembre 2025 al weekend del 18 maggio 2026.
  • Contenuti critici: File 'importantAWStokens' (chiavi AWS GovCloud) e 'AWS-Workspace-Firefox-Passwords.csv' (password in plaintext).
  • Sistemi impattati: Tre account AWS GovCloud e l'ambiente interno LZ-DSO.
  • Bypass tecnico: Disabilitazione manuale del sistema "secrets detection" di GitHub da parte del contractor.
  • Finestra di rischio: Credenziali AWS rimaste attive per 48 ore dopo la cancellazione del repository.

Il repository "Private-CISA": cronologia e contenuti esposti

Il repository denominato “Private-CISA” è stato creato il 13 novembre 2025 ed è rimasto pubblicamente accessibile fino al weekend precedente al 18 maggio 2026. Sebbene la data esatta della rimozione non sia stata ufficialmente dichiarata, la durata totale dell'esposizione copre un intero semestre. In questo arco temporale, qualunque attore interessato avrebbe potuto clonare il repository, ottenendo l'accesso a informazioni strutturali sull'infrastruttura dell'agenzia federale CISA (Cybersecurity and Infrastructure Security Agency), senza attivare allarmi per mesi.

Al suo interno, il file denominato 'importantAWStokens' conteneva credenziali amministrative per tre server Amazon AWS GovCloud. Questo ambiente cloud isolato è progettato specificamente per ospitare carichi di lavoro governativi che richiedono il rispetto di rigorosi standard di conformità, come FedRAMP e ITAR. L'esposizione di chiavi con privilegi elevati in un ambiente simile rappresenta un rischio di primo livello, poiché permette potenzialmente l'accesso a dati sensibili o la modifica di configurazioni infrastrutturali critiche senza dover superare ulteriori autorizzazioni.

Un secondo file critico, denominato 'AWS-Workspace-Firefox-Passwords.csv', elencava in formato puramente testuale username e password per decine di sistemi interni di CISA. Tra questi figurava l'ambiente operativo denominato 'LZ-DSO'. La scelta di conservare password in chiaro all'interno di un foglio di calcolo, poi sincronizzato tramite git in un repository pubblico, indica un flusso di lavoro manuale privo di qualsiasi sistema di gestione centralizzata delle identità (IAM) o di utilizzo di vault cifrati per la protezione delle credenziali.

Oltre ai file citati, il repository conteneva credenziali per l’artifactory interno dell’agenzia. Questo sistema è fondamentale per la gestione degli artefatti software e la distribuzione di pacchetti utilizzati nello sviluppo interno. La loro esposizione potrebbe consentire a un attaccante di iniettare codice malevolo direttamente nei processi di build. Nonostante la gravità dell'esposizione, il portavoce di CISA ha dichiarato che attualmente non risultano evidenze di compromissione effettiva dei dati o di accessi non autorizzati sfruttati da attori ostili.

Validazione attiva e le quasi 48 ore di chiavi ancora funzionanti

La scoperta iniziale di Guillaume Valadon ha innescato una procedura di verifica indipendente che ha coinvolto Philippe Caturegli, ricercatore presso la società di cybersecurity Seralys. Caturegli ha proceduto alla validazione tecnica delle chiavi AWS rinvenute nel file 'importantAWStokens'. Il test ha confermato che le credenziali non erano semplici residui di vecchie configurazioni, ma chiavi operative che consentivano l’autenticazione immediata a tre account AWS GovCloud dotati di privilegi amministrativi elevati, superando agevolmente i controlli di accesso perimetrali.

L’aspetto più critico emerso dalla validazione riguarda la persistenza delle chiavi dopo la scoperta del leak. Secondo le analisi condotte, le credenziali AWS sono rimaste attive e perfettamente funzionanti per circa 48 ore dopo che il repository era stato rimosso dalla visibilità pubblica. Questo ritardo nella revoca e nella rotazione suggerisce una mancata sincronizzazione tra i team di risposta agli incidenti e gli amministratori dell'infrastruttura cloud, lasciando aperta una finestra di opportunità per eventuali intrusioni post-scoperta durante le operazioni di bonifica.

La tempistica di rotazione completa di tutte le altre password esposte nel file CSV non è stata dettagliata ufficialmente, né è noto se CISA abbia proceduto a un reset globale di tutte le identità coinvolte. Questo intervallo di due giorni solleva interrogativi sulla capacità di reazione rapida dell'agenzia di fronte a incidenti che coinvolgono le proprie infrastrutture cloud. La gestione delle chiavi, in un contesto di sicurezza nazionale, dovrebbe prevedere l'invalidazione istantanea non appena viene rilevata una potenziale esposizione pubblica.

ANALISI EDITORIALE: Shadow IT e Governance dei Contractor

L’analisi dei commit log rivela che il contractor aveva inserito comandi espliciti per disabilitare la funzione di rilevamento dei secrets di GitHub. Questa protezione nativa è progettata per intercettare automaticamente token e password; bypassarla intenzionalmente indica la volontà di piegare i protocolli di sicurezza per facilitare il flusso di lavoro personale. GitGuardian non è riuscita a generare un avviso tempestivo perché l'utente aveva silenziato le notifiche alla radice.

Il comportamento del contractor non sembra riflettere un intento malevolo, ma una pratica di Shadow IT: l'uso di GitHub come "scratchpad" per sincronizzare dati tra dispositivi domestici e lavorativi. Questo trasforma il computer personale di un collaboratore in una estensione non protetta della rete federale. Il rischio si estende alla supply chain: con le credenziali dell'artifactory esposte, un attaccante potrebbe muoversi lateralmente e compromettere i pacchetti software prima della distribuzione.

L'artifactory interno e il rischio supply chain

La presenza di credenziali per l’artifactory interno di CISA all'interno del leak aggiunge una dimensione di rischio legata alla supply chain software. L'artifactory è il fulcro dove vengono archiviati i pacchetti e le librerie utilizzati per assemblare il software governativo. Avere accesso a questo sistema significa poter teoricamente alterare il codice sorgente o sostituire artefatti legittimi con versioni compromesse che contengono backdoor o malware silenti che verrebbero poi distribuiti automaticamente nei sistemi federali.

"That would be a prime place to move laterally. Backdoor in some software packages, and every time they build something new they deploy your backdoor left and right." — Philippe Caturegli, Seralys

Sebbene non esistano al momento prove di accessi malevoli all'artifactory, la sola possibilità tecnica che un attaccante potesse agire indisturbato per mesi è fonte di estrema preoccupazione. La coesistenza, nel medesimo repository pubblico, di token per il cloud, password di sistema in chiaro e chiavi di sviluppo suggerisce una totale assenza di segmentazione dei privilegi. L’identità del contractor non è stata resa nota, ma la società Nightwing è ora sotto osservazione per le sue politiche di sicurezza interna.

Cosa fare adesso

Per i CISO, i contractor federali e gli auditor di sicurezza, l'incidente CISA impone una revisione immediata delle procedure di gestione dei segreti. Di seguito la checklist operativa:

  • Auditing continuo dei repository: Implementare scansioni sistematiche su GitHub, GitLab e Bitbucket non solo per i repository aziendali, ma anche per i profili pubblici noti di contractor e consulenti con accesso a infrastrutture critiche.
  • Policy IAM centralizzata: Eliminare l'uso di chiavi AWS a lungo termine a favore di ruoli IAM e token temporanei. Impedire tecnicamente l'autenticazione tramite credenziali statiche ove possibile.
  • Rotazione immediata: Definire protocolli di "kill switch" che garantiscano la revoca delle credenziali compromesse entro pochi minuti dalla rilevazione del leak.
  • Divieto di sincronizzazione personale: Imporre contrattualmente il divieto di utilizzare strumenti di sincronizzazione cloud pubblici per dati o configurazioni legate a progetti governativi.
  • Verifica integrità build: Eseguire il confronto dei checksum per tutti gli artefatti presenti negli artifactory interni per escludere manipolazioni avvenute durante il semestre di esposizione.

L’incidente che ha colpito CISA non è una sconfitta tecnologica dovuta a una vulnerabilità zero-day, ma il risultato di una governance delle identità che ha ceduto di fronte alle abitudini individuali. La maturità di un'organizzazione si misura non solo dalla qualità dei suoi firewall, ma dalla capacità di impedire che il bypass intenzionale di un singolo controllo nativo possa mettere a rischio l'intera infrastruttura cloud governativa e la fiducia dei cittadini.

Domande e risposte

Perché le chiavi AWS sono rimaste valide per circa 48 ore dopo la rimozione del repository?

Non è stato fornito un motivo ufficiale. Il ritardo suggerisce una latenza nei processi interni di incident response o una mancata comunicazione tempestiva tra i ricercatori esterni e gli amministratori dei sistemi AWS GovCloud di CISA durante la fase critica di revoca.

Qual è il rischio concreto dell'esposizione dell'artifactory?

L'esposizione delle credenziali artifactory permette potenzialmente l'iniezione di codice malevolo nelle build software. Questo trasformerebbe un leak di credenziali in un attacco supply chain su larga scala, dove il malware viene distribuito come aggiornamento legittimo.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews