CISA 凭证在公共 GitHub 存储库上泄露

在一次突显适当凭证管理重要性的重大安全事件中，美国网络安全和基础设施安全局 (CISA) 遭遇了敏感管理凭证的严重泄露。安全研究员 Brian Krebs 最近报告称，联邦机构无意中通过可公开访问的 GitHub 存储库泄露了大量纯文本密码、SSH 私钥、身份验证令牌和其他敏感 CISA 资产。此次曝光已经持续了很长一段时间，有证据表明该存储库至少自 2025 年 11 月以来一直对公众可见。

这一凭证泄露事件的发现凸显了政府网络安全机构预期的安全责任与实际操作实践之间存在令人不安的差距。该存储库被命名为“Private-CISA”，这表明了预期目的（保持材料私密性）与公开敏感信息的实际结果之间存在着讽刺性的脱节。该存储库此后已被下线，但在其仍可访问的几个月内可能会被恶意行为者发现和利用。

有关受损存储库的警报源自 GitGuardian，这是一家专门提供秘密检测和代码安全解决方案的公司。 GitGuardian 的研究员 Guillaume Valadon 通过该公司持续的公共代码扫描操作发现了暴露的存储库。 Valadon 的发现机制代表了一种自动监视类型，可以在人类管理员意识到之前识别安全故障。发现漏洞后，Valadon 尝试直接联系存储库所有者，但没有收到 CISA 代表关于泄露凭据的回复。

根据 Valadon 和 Krebs 之间的通信，在检查存储库的提交历史记录后，情况变得更加令人不安。来自 git 日志的证据表明，GitHub 内置的秘密保护机制（专门为防止开发人员意外提交敏感信息而设计的功能）已被存储库管理员故意禁用。这表明这次违规行为不仅仅是疏忽，而是故意规避 GitHub 为防止此类安全故障而提供的保护措施。

此次AWS GovCloud 凭证泄露对联邦安全基础设施影响重大。暴露的凭证包括 AWS GovCloud 服务的身份验证令牌，这意味着可能会未经授权访问联邦政府使用的云基础设施。 SSH 私钥如果被泄露，可能使攻击者能够直接访问远程系统。存储在源代码存储库中的明文密码从根本上违反了安全最佳实践，并为未经授权访问关键系统创建了多种途径。

这一事件引发了有关 CISA 内部安全文化和培训实践的严重问题，该组织负有就网络安全事务向其他联邦机构和私营部门实体提供建议的重大责任。该组织自身的安全失败损害了其作为基础设施安全实践方面值得信赖的权威机构的可信度。当负责保护美国关键基础设施的机构无法确保自己的资质时，就会引发对其对其他组织的指导有效性的担忧。

曝光的时间线尤其令人担忧，因为在被发现和报告之前的几个月里，这些凭证仍然可以访问。在此窗口期间，各种威胁行为者（从个人黑客到复杂的民族国家实体）存在多种机会来访问和利用暴露的秘密。泄露的实际范围仍不清楚，因为确定凭证是否被未经授权的方发现和使用是非常困难的。

GitHub 的秘密保护功能在本例中被禁用，但它是防止开发人员凭证错误的最后一道防线。当用户尝试提交通常与机密相关的某些模式（例如 AWS 密钥、私有加密密钥或身份验证令牌）时，这些保护措施会向用户发出警报。通过禁用这些保护，存储库管理员删除了专门针对人类警惕可能失败的情况而设计的基本保护措施。

该事件体现了政府技术实践中更广泛的安全失败模式。尽管对网络安全基础设施进行了大量投资并建立了 CISA 等专门机构，但基本的运营安全措施有时被忽视或被积极规避。安全责任与实际安全实践之间的这种差距对联邦信息安全计划构成了持续的挑战。

作为对这一披露的回应，CISA 已将受感染的存储库从公共访问权限中删除。然而，暴露的长期性质意味着其中包含的任何凭证可能已经被泄露并需要立即轮换。以类似方式处理凭据的组织面临着类似的风险，这一事件是一个警示故事，提醒人们禁用旨在防止此类故障的安全保护的危险。

更广泛的安全界强调了极其严肃地对待秘密管理的重要性。应利用环境变量、配置文件和秘密管理系统将凭据与源代码分开。此外，最小权限原则可确保即使凭证遭到泄露，也可通过限制访问权限将潜在损害降至最低。

此事件强调了各级政府和行业组织维持严格的安全实践的迫切需要，包括定期审核存储库访问控制、禁用安全保护机制和凭证管理实践。不遵循这些基本安全卫生实践的后果可能会很严重，特别是对于负责保护关键国家基础设施安全利益的组织而言。