Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570ГБ сжатых данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало около 800 CER-отчётов (Customer Engagement Report), содержащих конфиденциальную информацию о платформах и сетевых инфраструктурах клиентов Red Hat, которым предоставлялись консалтинговые услуги...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63986
Неплохо
не рассказывается самое интересное - как это произошло, информация всегда скудная, нужен ТВ сериал "Расследование а̶в̶и̶а̶к̶а̶т̶а̶с̶т̶р̶о̶ф̶ взломов" с всеми подробностями и деталямиесли я забыл ключ от квартиры, а бомж залез ко мне в ванну помыться, то не очень то и интересный "взлом"
Было бы интересно псомтреть такое, но обычно же компании внутреннее расследование проводят и не публикуют итоги
> если я забыл ключ от квартиры, а бомж залез ко мне в ванну помыться, то не очень то и
> интересный "взлом"если бомж по дороге сп-л папочку со схемами военных баз и маршрутами перевозки грузов (как в этом случае) - то все становится гораздо интереснее.
Ну и вот, рассказали. zero day в попенштифте. Хороший такой бомжик - "может стену убрать".
"указано, что в атаке не использовалась вчера выявленная уязвимость (CVE-2025-10725) в OpenShift AI Service"
В основном через подрядные организации. На втором месте личные устройства сотрудников и нарушение регламента работы через неавторизованное По, флэшки, репаки, дома доделаю и тп. интеграции небезопасных окружений в условно-безопасные. Binance - утечка через личное устройство сотрудницы, Касперский - целевая атака в отношении личных устройств сотрудников, RedHat, очевидно, через подрядчика. Пока рабочие мобильные устройства не начнут выдавать, толку не будет. У меня был случай, когда mdm-профиль пробили через Charles Proxy, новых опций в iOS добавилось, а после перезагрузки белый экран и восстановление через DFU.
Безопасных окружений не бывает - иранцы с stuxnet проверяли, если атакующим очень надо - достанут даже под землей. Без связи с интернетом.
Редко какому инженеру позволят домой флэшки тягать, если это не сотрудник Siemens или кто-то решающий вопросы с работой обеспечения. Ai говорит, что напрямую сименс с ираном не работал, а это в свою очередь может говорить о проблемах с цепочкой поставок и, вероятно, софт уже был затроянен как надо. Например после апдейта https://www.0daydown.com/04/2889241.html
Слухи были что они за год до атаки готовиться начали. Не особо скилловые попались, если год потрачено был. СБ должны были их отработать раньше.
>Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.Интересно, куда они писали? У них же, судя по новости, есть контакты чуть ли не совета директоров, а они, вангую, писали в стандартный саппорт..Либо злоумышленники не очень умные, либо взламывали не они..
> злоумышленники не очень умныеThis. С их точки зрения, редхат должен был заплатить бабосик без каких-либо гарантий, что хацкеры все равно не пойдут продавать награбленное. Ну да ладно, сейчас дело уже наверняка в плоскости правоохранителей.
> в плоскости правоохранителей.которые уныло смотрят на логи захода с какого-то одноразового серверка где-то в DO, купленного на стыренную кредитку, и разводят ушами. Это если хоть логи остались. Что в таких мегакорпбардаках нечасто встретишь.
А НАШ товарищмайор уже пишет заявку на выделение энной суммы на закупку разведданных у уважаемых контрагентов. (Вот у него, будь уверен - все получится, и денег найдет, и в том что за товар - разберется получше раджей из rhbm.)
С их точки зрения они поступили честно - предложили договориться по хорошему, ну а раз там одни роботы т-поватые - найдут другого выгодоприобретателя.
Ребят, что покусились на нвидию, как-то очень быстро отыскали. И этих отыщут, если они уперли действительно важную информацию у большой конторы.
> Ребят, что покусились на нвидию, как-то очень быстро отыскали.дерьмовый потому что товарчик - ну ЗОЧЕМ товарищмайору - схемы нвидиевского чипа? Их произвести по этим схемам может только один станок в мире - и он не у нас.
Нвидия, кстати, требования тех ребят все же - выполнила. На пять с плюсом! А что им понравится результат - так такого условия ведь и не было ;-)
А у этих - доступы и описания внутренней кухни очень интересных контор. Такое будут на расхват разбирать, причем в розницу а не оптом.
Хватит на уютный домик поросятам где-то в стране, где не очень соблюдают американское законодательство.
> дерьмовый потому что товарчик - ну ЗОЧЕМ товарищмайору - схемы нвидиевского чипа?
> Их произвести по этим схемам может только один станок в мире
> - и он не у нас.Там не схемы а HDL уж сто лет. И что-нить средне-паршивенькое вместо топа - чайна в несколько урезанном виде может и отлить, пожалуй. Так что чайники могут и заплатить пожалуй что-нибудь. Но это не точно. На случай если их совсем госдеп прокатит - чего б не подстраховаться.
Обожаю читать твои "умные" фантазии.
Вы уверены, что отыскали тех? Вы инсайт?
Значит, так! Бери бумагу, садись, пиши:«инсайт» — озарение
«инсайд» — информация, полученная из внутренних источников
«инсайдер» — человек, предоставляющий информацию из внутренних источников
Мега корпорации не осилили OpenSearch? Для кого же мегакораорации его пишут тогда...
Быдлана, который AT&T поломал с подельниками и cdrы каких-то там конгрессменов потырил нашли и никакой тор не помог. Злоумышленники действительно не блещут интеллектом, даже если тебе персонально редхат и госдеп противны
> А НАШ товарищмайор уже пишет заявку на выделение энной суммы на закупку разведданных у уважаемых контрагентов. (Вот у него, будь уверен - все получится, и денег найдет, и в том что за товар - разберется получше раджей из rhbm.)И правильно сделают. Будто что-то плохое.
Так точно!
угу, в совете директоров-то точно поймут что за шитляп, что там взломали, может даже замок на двери пощупают - да не, вроде все в порядке с замком, врут небось, спаммеры.Написали на официальный адрес для тех кто пишут о проблемах безопасности, удивительно но факт. Получили отписку, как в общем и ожидали, надо думать. Поскольку безопасность чужих данных ibm не колышет совсем.
Ну а эти вот, "из fortune500", с девляпсами с "зарплатами по 300k" - так и будут и дальше аутсорсить все ключевые сервисы с паролями, токенами и документацией, кучкой под чужой коврик. Включая военные и околовоенные. Для того и брали, не самим же вляпываться.
Даже пароли вряд ли поменяют, это ж надо с клиентом объясняться, зачем нужно и в скольки местах тот токен гуляет.
> "зарплатами по 300k"Твои слова да богу б в уши. Но нет, всего лишь 200к. Я надеюсь тебя не сильно задело, что я хуже тебя разбираюсь ну буквально во всём, кроме зарплатных переговоров? Или ты от обычной бытовой зависти шипишь?
ты просто честно скажи - твоя контора тоже на том сервере выложена в неглиже?
Нет. Моя на другом коммерческом дистре сидит. Но есть знакомые, котрые прямо там и засветились. Им ещё до публикации сообщили, можешь представить какой аврал без выходных и сна: все циски попатчить, все ОСи обновить, гайки закрутить. Всё ещё вроде как толком не ясно что именно слили, конкретно. Однако, подкинули работы людям на ровном месте.
> Твои слова да богу б в уши. Но нет, всего лишь 200к.Здесь требуется одно очень важное уточнение, 200 со стаками или нет?
Другими словами - "total comp" или все таки деньгами?
Деньгами. Годовые бонусы, стоки, медстраховка и остальная мишура отдельно оговорена.
"Ну че, красава"
Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать будут. Особенно если "хуже разбираюсь ну буквально во всём".
>"Ну че, красава"Спасибо.
> Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать будут.
Нужно учесть, что любой бизнес может уволить кого угодно в любой момент без предупреждения и объяснения причин. Вопрос в целесообразности и стоимости этого решения, а в отношении исполнителей и менеджмента нижнего уровня эта стоимость околонулевая. Любой, кто тебе говорит обратное лжёт. Ну а насколько моё умение вести переговоры поможет мне остаться в компании мы увидим уже весной, когда наша компания уволит 1% сотрудников. Решение уже принято, медежерам спустят квоты в феврале, жду с нетерпением.
> Особенно если "хуже разбираюсь ну буквально во всём".
Это вторая распространённая иллюзия у наёмных работников — что для карьерного успеха нужно быть лучше всех. В стартап-культуре действительно нужно, это высококонкурентная среда, в которой выживает тот, кто делает и быстрее, и дешевле, и лучше, чем другие, и при этом умеет продавать своё лучше. Поэтому 90% стартапов не выживает. Однако в уже существующем и работающем бизнесе нужны люди, которые будут приходить изо дня в день и делать то, что нужно для бизнеса, часто одну и ту же рутину, и с постоянным качеством. Для этого нужны не лучшие, а просто достаточно хорошие, коих подавляющее большинство. Но спроси любого HR, и тебе расскажут насколько высока планка в их организации. Весь процесс найма (сознательно или не осознавая этого, просто научившись из переводных книг 80х-90х по управлению людьми) заточен только на одно: доказать нанимаемому, что он посредтвенность в мире гениев и поэтому ваша компенсация будет где-то в районе нижних 40% вилки — и только благодаря нашей легендарной щедрости, обычно это нижние 30%.
А теперь, следите за руками. Обычно все бонусы, все повышения зарплаты, все прочие опциональные денежные компенсации, парашюты, стоки и тому подобное рассчитываются как процент от оклада. Согласиться без переговоров — это подарить кучу денег тем, у кого они и так есть. За десять лет карьеры эта сумма может легко вылиться в миллион долларов, которые не попали в твой карман. Не знаю как там у богатых опеннетчиков, а для меня даже тысяча долларов значимая сумма, не говоря уже про миллион. Я поднял свою зарплату на 25% просто назвав первое предложение «неплохим началом» и потратив в сумме ~3 часа на разговоры с нанимающим менеджментом в обход HR. Даже если меня выкинут на мороз на второй год после найма, согласись, суммарные 16к за час разговоров это весьма неплохо. А так, будет день — будет и пища.
> Нужно учесть, что в случае выдающейся зарплаты, достигнутой в основном за счет умения
> "зарплатных переговоров", работник также первый в очереди на выход, когда costs резать
> будут.Ну здрасьте! Последний он в очереди, первыми уволят тех кто работал. Им некогда договариваться, да и не очень может умели.
> Особенно если "хуже разбираюсь ну буквально во всём".
и чо, кумар раджа-то об этом не в курсе, и если снизойдет до вызвать побеседовать о перспективах неудачного направления во вверенном ему отделе - то снова останется тот кто милее беседовал, а не тот вот шибкоумный (если он такой умный - чо показатели-то упали?)
Могут, конечно, весь отдел чохом, вместе с Кумаром. Но тут уже пофиг кто в очереди на каком месте и в чем ты там разбирался - тоже уже никому не будет интересно.
Лучше даже первым вылететь - пока в соседних компаниях еще не все места расхватали ушлые коллеги.
Девопсов за 300к не видел, но видел руководителя девопсов в СПб за 300к на руки с доп. бонусами типа тринадцатой, ДМС со стоматологией, компенсацией зала, едой в офисе и прочее.
у rhbm офис, будь уверен, не в спб. Так что 300 к там не в ржублях. (правда, и не в месяц, но согласись, в сочетании с правом просохатить инфу о критичной инфраструктуре и ничем за это не ответить - неплохо, очень неплохо)
Стопудово
>ЗлоумышленникиВсмысле блоггеры наверное.
>Злоумышленники пытались связаться с Red Hat с целью вымогательстваПсихологический приём, но на поводу у таких нельзя идти.
>с целью вымогательстваВот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты и млрд. налогов.
И тут появляется такая вот плесень, живущая одним днём... тьфу.
> большие конкурентные зарплатыНужно было в SOC набирать ориентируясь на потребности компании а не разнообразие и кодексы поведения.
Это rhbm, они вроде в гендерных квотах не замечены.Там скорее всего не набирать а увольнять надо было. Упершихся в принцип Питера.
Что очень типично для огромных контор где левая рука не знает кому др-т правая.Но ты оцени каких заказчиков набрали - добровольно и с песнями сливших всю свою ценную инфру аутсорсерам из бангалорского офиса. Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли.
> Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли.Дык, давно уже на аутсорсе у израиля.
>Казалось бы - у NSA-то уж должны быть СВОИ специалисты?В американском госсекторе не очень большие зарплаты. Туда мало кто идёт. На эту тему Кондолиза Райс и её приглашённые эксперты несколько раз ныли на канале Hoover Institution.
> Казалось бы - у NSA-то уж должны быть СВОИ специалисты? А, нет. Были но давно сплыли.По старым их законам именно специалисты NSA должны были консультировать RH в области безопасности.
Да они мож и консультировали. (ТЕ специалисты - обычно не штатные шп...разведчики, а просто контракторы из хороших (если еще остались, где, интересно?) вузов. Как автор tcpdump к примеру.) В порядке оплаченного контракта.А чо толку - совет директороффф те консультации не слушает, правительство вообще на другой планете, дарагой. А рядовые исполнители хмыкают в рукав, но делают чо велено, ането! Велено собрать шитляп и залить туда все данных всех контрагентов, с паролями и ключами от всего, потомушта так удобненько бангалорским исполнителям - вздыхают, и идут делать, беспрекословно, точно и в срок. Обсуждение приказа и его критика недопустимы.
>>Велено собрать шитляп и залить туда все данных всех контрагентов, с паролями и ключами от всего, потомушта так удобненько бангалорским исполнителям - вздыхают, и идут делать, беспрекословно, точно и в срок.Прям "Крепкий орешек 4" :).
Нет, это платная услуга.
И што такова? Аудитор вот спросит - консультации заказывали? - Заказывали!
(без) ответственные сотрудники - посещали? - А как же!За такое и заплатить не грех!
(тем более что бабла у той rhbm - совершенно девать некуда)
> И што такова? Аудитор вот спросит - консультации заказывали? - Заказывали!(без) ответственные сотрудники - посещали? - А как же!
Вот аудитор и проверит соблюдение рекомендаций (требований), которые давали анбэшники. Поверь, аудитор найдет каким рекомендациям и требованиям они не соответствуют.
> За такое и заплатить не грех!
Платишь за консультацию ведь, а не чтобы за тебя что-либо сделали, анбэшникам ведь до лампочки, будешь ты соблюдать их требования и рекомендации или нет, они коммерческим организациям ничего предъявлять по факту не могут. Обязует соблюдение инфобеза - закон государственный, а анб всего-лишь дает рекомендации.
пс: Нету закона запрещающий складывать все яйца в одну корзину! (ц)
> Поверь, аудитор найдет каким рекомендациям и требованиям они не соответствуют.не, не поверю. Там наверняка целый отдел комплайнса следит чтоб соответствовали и перевыполняли.
> Платишь за консультацию ведь, а не чтобы за тебя что-либо сделали
а делать ничего и низзя.
Сказал тебе Кумар Нacpaл Ниип@ать Раджа - щас модно все данные хранить в гите! Штоб через час все на очередного военного заказчика с паролями и ключами было выложено!
Зато у нас пароли по 132 символа большие-маленькие-цифры-не меньше трех катаканой-минимум два хангулом и четыре арабских!
И меняем раз в два часа, как в регламенте записано! (ну и что что приходится их хранить в нотпаде, потому что набрать невозможно)
И вот, второй фактор, в виде faceid!А что токен дает те же самые права и получается нескучным вызовом апи - ну так ведь скрипты не умеют в фейсойди!
Но консультация - оплачена! Все подписи правильно поставлены!
> пс: Нету закона запрещающий складывать все яйца в одну корзину! (ц)
вот именно!
MITRE вон на мороз чуть не выставили, весной этой, что-ли.
Какие законы, там уже кукуха едет.
ну они реально стали феерически бесполезными, торговцы номерками оптом.с другой стороны - так хоть номерки выдавались.
"есть мнение", что основная их деятельность не публична. "но это не точно"
>>с целью вымогательства
> Вот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты
> и млрд. налогов.
> И тут появляется такая вот плесень, живущая одним днём... тьфу.Вот так пишут тебе репорт, о том что у тебя дыра в пакете, а ты такой прекрасный красношапочник заявляешь, какая-такая починка дыры? У нас система стабильная должна быть, менять в ней что-то низзя, да и дырки ваши не дырки вовсе.
Потом, спустя время, под нажимом и обсвистыванием сообщества, мол позорище какое, нужно бы закрыть дырку, ты всё же пинаешь на обеде индуса, который таки принимает патч и выпускаешь апдейт с закрытием дырки, но добродетелям из сообщества, с тобой таким горделивым и надменным уже общаться не хочется, а потом тебе ещё припоминают уродское поведение в периодических попытках нагнуть GPL и всячески проехаться на бесплатном горбу у разработчиков и чот больше слать тебе патчей не так уж хочется.
Денег с тобой в честном суде тягаться нет, проверять на такой суд на честность и отстаивания правоты, зато неофициально насрать тебе в тапки, на половик и в корзинку для еды, это можно. И потом пусть скулят про то какие вокруг нехорошие негодяи и а нас то за шо?!
ты конечно можешь привести ссылку на свой репорт, и как прогрессивная обсчественность там?А то мне конечно лень будет, но я отлично помню ровно обратную историю - как в ведре появился очередной local (afair) root, исправляемый однострочным патчем, выложенным в lkml. И как редхатовский индус то ли запил, то ли в отпуск накопленный за пять лет смылся.
И две недели (или больше, мне на третий день надоело и я свои системы попатчил вручную) не было секьюрити апдейта ведра. А потом индус из отпуска вернулся, или его отпустило, или нового нашли - в общем, выкатил апдейт.
И тут, СРАЗУ ЖЕ, как поганые грибы после дождичка - suse/debillian/кто там еще, несть числа им - "и йа! - и йа! - и йа!"
Одну строчку без редхата поправить то ли не в состоянии были, то ли боялись.
А что там прогрессивная обсчественность - не знаю, не слышал.
херассе одним днем!Тут на год работы. Причем - нетривиальной. Как-то попасть во внутреннюю сеть. Как-то найти там этот сервер. Ценный. Ломануть, потому что вряд ли получили набор паролей от всего, скорее всего - через очередную дырку в шитляпе пролезли (ну эт ладно, готовых троянцев полно, лишь бы были хоть какие креды и право запуска от них воркеров).
А ты в лучшем случае исходники системдряни бы спер.
>А ты«Я мзду не беру...
Тут остро встает вопрос - за какую именно державу в данном случае.
Не беспокойтесь, ни один капиталист не пострадал. Виновные будут назначены и публично выпороты, корпорация будет "страдающей жертвой", новый мелкобуржуазный поросёночек получит предложение "конкурентной" зарплаты и будет откармливаться.
Ох уж эта показательная снисходительность от люмпенов.
> создаёшь тысячи рабочих мест, платишь большие конкурентные зарплатыЯ не защищаю хакеров, НО каких же болванов редхад наняла, раз не смогли защитить. Это как нанять много охранников, которые не защитят.
Срочно пришли им свое резюме! Ты-то гарантированно неболван!(кстати, возьмут. Там таких любят.)
Я тебе страшную тайну открою, но единственный способ защиты таких данных - не складывать их кучкой в шитляп.
Но для того чтоб этого не случалось - неболван должен одной ногой стоять в совете директоров, но при этом еще и быть заинтересованным и разбираться в технологиях и в том что творится в обособленном подразделении каких-то продавцов-консультантов со штаб-квартиркой где-то в НьюДели. А в совет директоров таких не берут. А если и берут те быстро бросают интересоваться чо там в ньюдели и начинают бережно укладывать свой золотой парашут. А то сам не уложил - сам виноват.
вообще для этого спецов нанимают. если бы не нанимали, не учитывали их проф мнение - все эти корпы просто разваливались и не было бы никакого совета.но вообще да, вариант отличный, когда ты мастер по специализации своей конторы и ген директор, по совместительству
> Вот так создаёшь бизнес, создаёшь тысячи рабочих мест, платишь большие конкурентные зарплаты и млрд. налогов.Согласен что они полностью заслужили то что с ними произошло.
А с ними-то - ничего и не произошло!А если ты в какой-там дельта эйрлайнс админом - то конечно заслужили, компания п-сов!
Беги менять все пароли и конфиги проверять.
Да ничего страшного.
Хакеры взломали внутренный GitLab компании RedHat и слили в сеть исходники новой версии systemd.
Считаете уязвимости в системД позволили проникнуть в закрома красношляпых?
Всё прошляпили...
Интересно, а взлом произошёл через RHEL-специфический эксплоит? ☺️
ломать гитлаб через багу в самом рхел? :)) рассмешили
Скриншоты шедеврум генерировал?
Да пофиг, контора то опенсорсная, ничего ценного у них и нет. А взломщики, наверное, врут, ибо пруфов (напр выкладывания дампа в паблик) не предоставлено.
>> ОпенсорснаяЗакрыли исходники
Вот еслиб они взломали бы исходники Half Life первой.
И выложили бы в исходники.
Вот исходники софтового рендера первой халфы я бы почитал
Всмысле опенсорсная? Это поганые коммерсы паразитирующие на опенсорсе и всячески вредящие ему.
>Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимостиНу дык надо было отправить отчет. Представляю, если бы о взломе узнали из этого отчета.
вот он, результат закрытия исходников ;-)
надеюсь найдут и посадят лет на 10 подумать куда свои грязные руки совать
Им ещё премию дадут и медаль и возможно даже внеочередное звание (но это вряд-ли)
Предложут работу в фсб или цру.
Хаккерами.
Gitlab это кусок мусора написанный на ruby. Ждем когда сделают нормальную легковесную минималистическую альтернативу. Хотя лично мне и gitolite выше крыше.
Уже есть gitea
Уже есть Forgejo
Они давно уже перешли на свободный форк forgejo.
Уже есть soft-serve в связке с cgit
не поверю пока в открытом доступе не увижу
> не поверю пока в открытом доступе не увижуТебе в соседней новости - написали про фееричный CVE с рут доступом в редхатовском OpenSh*t. Что такого удивительного что на таких новостях к прям авторам софтины кто-то зашел как рут на сервера, укачал кучу хлама, и вообще? :) Хакеры обычно про CVE узнают немного раньше чем новости появляются. Новости про CVE появляются - когда на серваке заметили хакеров и поняли как они туда попали, если это блекхеты были.
>которым предоставлялись консалтинговые услуги.Предоставление и место хранение информации клиента прописано в консалтинговом договоре? Или Red Hat это другое, Red Hat это надежность?
Консалтинг.
> Предоставление и место хранение информации клиента прописано в консалтинговом договоре?конечно нет.
"Стороны обязуются принять меры к сохранению конфиденциальности предоставленной информации." Меры - приняли. Два стакана джонвокера и пивом шлифанули. Вон, подпись под протоколом. Цифровая! (а то б был в пиве и рыбным жыром заляпан)
Как GitLab и данные клиентов оказались в одной инфраструктуре?
В смысле? Это был гитлаб для хранения данных клиентов.Потому что научившиеся пользоваться только молотком - любую проблему решают как гвоздь.
Хорошо, что с Debian такой сценарий исключен, хакеры понимают, что взять с них нечего))) Ну разве что кто-то из SJW, претендовавших на лидерство, натурой предложат.
IBM и RedHat "индусские" конторы 🤷♂️ Арвинд Кришна подтвердит
Да, он такой.
Кмк сотрудник помог получить доступ