{"id":1422353,"date":"2024-11-01T11:51:32","date_gmt":"2024-11-01T11:51:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-violacion-masiva-de-la-configuracion-de-git-expone-15-000-credenciales-10-000-repositorios-privados-clonados\/"},"modified":"2024-11-01T11:51:37","modified_gmt":"2024-11-01T11:51:37","slug":"una-violacion-masiva-de-la-configuracion-de-git-expone-15-000-credenciales-10-000-repositorios-privados-clonados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-violacion-masiva-de-la-configuracion-de-git-expone-15-000-credenciales-10-000-repositorios-privados-clonados\/","title":{"rendered":"Una violaci\u00f3n masiva de la configuraci\u00f3n de Git expone 15.000 credenciales; 10.000 repositorios privados clonados"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ Seguridad en la Nube<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han se\u00f1alado una campa\u00f1a “masiva” dirigida a configuraciones expuestas de Git para desviar credenciales, clonar repositorios privados e incluso extraer credenciales de la nube del c\u00f3digo fuente.<\/p>\n

La actividad, cuyo nombre en clave BALLENA ESMERALDA<\/strong>se estima que recopil\u00f3 m\u00e1s de 10,000 repositorios privados y los almacen\u00f3 en un dep\u00f3sito de almacenamiento de Amazon S3 que pertenec\u00eda a una v\u00edctima anterior. Desde entonces, Amazon ha retirado el dep\u00f3sito, que consta de no menos de 15.000 credenciales robadas.<\/p>\n

“Las credenciales robadas pertenecen a proveedores de servicios en la nube (CSP), proveedores de correo electr\u00f3nico y otros servicios”, Sysdig dicho<\/a> en un informe. “El phishing y el spam parecen ser el objetivo principal del robo de credenciales”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Se ha descubierto que la operaci\u00f3n criminal multifac\u00e9tica, aunque no es sofisticada, aprovecha un arsenal de herramientas privadas para robar credenciales y extraer archivos de configuraci\u00f3n de Git, archivos .env de Laravel y datos web sin procesar. No se ha atribuido a ning\u00fan actor o grupo de amenazas conocido.<\/p>\n

Dirigido a servidores con archivos de configuraci\u00f3n de repositorio Git expuestos que utilizan amplios rangos de direcciones IP, el conjunto de herramientas adoptado por EMERALDWHALE permite el descubrimiento de hosts relevantes y la extracci\u00f3n y validaci\u00f3n de credenciales.<\/p>\n

Estos tokens robados se utilizan posteriormente para clonar repositorios p\u00fablicos y privados y obtener m\u00e1s credenciales integradas en el c\u00f3digo fuente. La informaci\u00f3n capturada finalmente se carga en el dep\u00f3sito S3.<\/p>\n

\"Infracci\u00f3n<\/a><\/div>\n

Dos programas destacados que utiliza el actor de amenazas para lograr sus objetivos son MZR V2 y Seyzo-v2, que se venden en mercados clandestinos y son capaces de aceptar una lista de direcciones IP como entradas para escanear y explotar repositorios Git expuestos.<\/p>\n

Estas listas normalmente se compilan utilizando motores de b\u00fasqueda leg\u00edtimos como Google Dorks y Shodan y utilidades de escaneo como MASCAN<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Es m\u00e1s, el an\u00e1lisis de Sysdig encontr\u00f3 que una lista que comprende m\u00e1s de 67.000 URL con la ruta “\/.git\/config” expuesta se ofrece a la venta a trav\u00e9s de Telegram por 100 d\u00f3lares, lo que indica que existe un mercado para los archivos de configuraci\u00f3n de Git.<\/p>\n

“EMERALDWHALE, adem\u00e1s de apuntar a archivos de configuraci\u00f3n de Git, tambi\u00e9n apunt\u00f3 a archivos de entorno Laravel expuestos”, dijo el investigador de Sysdig Miguel Hern\u00e1ndez. “Los archivos .env contienen una gran cantidad de credenciales, incluidos proveedores de servicios en la nube y bases de datos”.<\/p>\n

“El mercado clandestino de credenciales est\u00e1 en auge, especialmente para los servicios en la nube. Este ataque muestra que la gesti\u00f3n secreta por s\u00ed sola no es suficiente para proteger un entorno”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n