Một lỗ hổng CVE kiểu vận hành đã khiến nhiều credential cloud cực kỳ nhạy cảm bị lộ công khai trên GitHub, bao gồm AWS GovCloud credentials, mật khẩu dạng plaintext và API token. Sự cố này cho thấy rủi ro bảo mật không chỉ đến từ mã khai thác, mà còn từ quản lý bí mật và cấu hình lưu trữ sai cách trong quy trình phát triển.
Lỗ hổng CVE theo nghĩa vận hành: GitHub public repository làm rò rỉ bí mật
Kho lưu trữ có tên “Private-CISA” đã được để ở trạng thái public cho tới giữa tháng 5/2026. Bên trong chứa nhiều dữ liệu nhạy cảm liên quan đến hệ thống cloud và nội bộ, bao gồm thông tin đăng nhập quản trị cho ít nhất 3 môi trường AWS GovCloud. Đây là kiểu lỗ hổng CVE trong thực tế triển khai: không phải do bug phần mềm, mà do sai sót cấu hình và xử lý secrets.
Trong bối cảnh tin tức bảo mật hiện nay, các sự cố lộ bí mật kiểu này thường nguy hiểm hơn nhiều so với việc chỉ lộ một mã nguồn thông thường, vì chúng có thể dẫn đến xâm nhập trái phép, leo thang đặc quyền và can thiệp vào chuỗi cung ứng phần mềm.
Dữ liệu bị lộ trong repository
Phân tích cho thấy repository chứa nhiều loại bí mật khác nhau, trong đó có:
- AWS GovCloud credentials dùng cho môi trường xử lý workload nhạy cảm.
- Plaintext usernames và passwords trong file AWS-Workspace-Firefox-Passwords.csv.
- API tokens và thông tin hệ thống nội bộ.
- Credential liên quan đến hệ thống DevSecOps được gọi là “LZ-DSO”.
- Credential cho hệ thống nội bộ artifactory dùng để lưu trữ và phân phối thành phần phần mềm.
Để đối chiếu thêm về nguyên tắc xử lý bí mật và cảnh báo lộ secrets trong kho mã nguồn, có thể tham khảo tài liệu từ GitHub Security Advisory: https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning.
Điểm kỹ thuật khiến sự cố trở nên nghiêm trọng
Một số credential được xác nhận vẫn còn hiệu lực tại thời điểm phát hiện, và ít nhất một phần trong số đó cho phép truy cập ở mức cao. Điều này làm tăng đáng kể nguy cơ bảo mật, vì kẻ tấn công có thể dùng quyền truy cập hợp lệ để dò quét tài nguyên, truy cập dữ liệu nội bộ hoặc sửa đổi cấu hình dịch vụ.
Đặc biệt, credential cho artifactory có thể mở đường cho việc chèn gói hoặc thành phần độc hại vào quy trình build và phát hành. Nếu một tác nhân độc hại kiểm soát được điểm này, họ có thể nhúng backdoor vào bản cập nhật hợp lệ, từ đó ảnh hưởng đồng thời nhiều hệ thống khi triển khai.
Chuỗi ảnh hưởng hệ thống
Với kiểu lỗ hổng CVE vận hành này, chuỗi tác động có thể bao gồm:
- Xâm nhập mạng thông qua credential hợp lệ.
- Truy cập vào môi trường cloud hoặc DevSecOps.
- Can thiệp pipeline build hoặc artifact repository.
- Phát tán mã độc thông qua bản cập nhật nội bộ.
- Gia tăng phạm vi hệ thống bị xâm nhập nếu cùng credential được tái sử dụng.
Quy trình phát hiện và phản hồi
Vấn đề được phát hiện bởi một nhà nghiên cứu của GitGuardian, đơn vị chuyên quét public repository để tìm secrets bị lộ. Khi liên hệ với chủ sở hữu ban đầu không có phản hồi ngay, thông tin mới được chuyển tiếp cho nhóm điều tra khác để xác minh sâu hơn.
Repository sau đó bị gỡ xuống, nhưng AWS credentials được ghi nhận vẫn còn hợp lệ trong gần 48 giờ sau khi disclosure. Khoảng thời gian này đủ để làm tăng cửa sổ rủi ro cho cảnh báo CVE dạng lộ bí mật, đặc biệt khi credential có quyền quản trị.
IOC liên quan đến sự cố
Sự cố này không ghi nhận IOC kiểu malware hay ransomware cụ thể. Các dấu hiệu kỹ thuật có thể theo dõi gồm:
- Repository name: Private-CISA
- File lộ mật khẩu: AWS-Workspace-Firefox-Passwords.csv
- Hệ thống liên quan: AWS GovCloud, LZ-DSO, artifactory
- Dạng dữ liệu: AWS credentials, plaintext passwords, API tokens
Vì sao secret scanning bị tắt làm tăng rủi ro
Phân tích commit logs cho thấy GitHub secret scanning đã bị vô hiệu hóa có chủ đích. Đây là điểm quan trọng trong an toàn thông tin, vì secret scanning là lớp kiểm soát cơ bản để phát hiện sớm credential bị commit nhầm vào kho công khai.
Khi tính năng này bị tắt, sai sót như lưu mật khẩu dạng plaintext hoặc đẩy file chứa token lên repository có thể tồn tại lâu hơn, làm tăng xác suất bị thu thập tự động bởi các hệ thống quét public GitHub.
Ví dụ kiểm tra secrets trong quy trình CLI
Trong môi trường thực tế, có thể dùng các công cụ quét secrets trước khi đẩy mã lên repository. Ví dụ với GitGuardian CLI hoặc các công cụ tương đương, quy trình thường được tích hợp vào pre-commit hoặc pipeline CI/CD:
git add .
gitleaks detect --source .
trufflehog filesystem .
Việc kiểm tra này không thay thế cho chính sách quản lý bí mật, nhưng giúp giảm nguy cơ rò rỉ dữ liệu do lỗi thao tác của con người.
Ảnh hưởng đối với hệ thống cloud và chuỗi cung ứng phần mềm
Trong môi trường cloud, lỗ hổng CVE dạng credential exposure có thể dẫn tới truy cập tài nguyên lưu trữ, cấu hình IAM, workload riêng tư hoặc dữ liệu nhạy cảm. Nếu quyền truy cập đủ cao, kẻ tấn công có thể tạo thêm key mới, chỉnh sửa policy hoặc di chuyển ngang sang dịch vụ khác trong cùng tenant.
Đối với chuỗi cung ứng phần mềm, tài khoản truy cập artifactory là một điểm đặc biệt nhạy cảm. Một thay đổi nhỏ tại đây có thể khiến artifact hợp lệ chứa nội dung bị chèn thêm, khiến hoạt động cập nhật trở thành kênh phát tán tấn công mạng nội bộ.
Biện pháp kiểm soát phù hợp với sự cố này
Với dạng cảnh báo CVE liên quan đến secrets bị lộ, các biện pháp kỹ thuật cần ưu tiên gồm:
- Thu hồi và xoay vòng toàn bộ credential đã lộ.
- Kiểm tra log truy cập trong khoảng thời gian credential còn hiệu lực.
- Rà soát quyền IAM và giảm đặc quyền nếu cần.
- Bật lại secret scanning và chặn commit chứa secrets.
- Áp dụng mã hóa và tách biệt repository cá nhân với dữ liệu vận hành.
- Kiểm tra integrity của artifact repository và pipeline CI/CD.
Về mặt giám sát, các đội phát hiện xâm nhập nên theo dõi hoạt động bất thường trên cloud console, thay đổi policy, tạo access key mới và truy cập trái phép vào kho artifact. Đây là các dấu hiệu thường đi kèm với hệ thống bị tấn công sau khi credential bị lộ.
Ghi nhận và trạng thái điều tra
Cơ quan liên quan đã xác nhận đang điều tra sự cố và hiện chưa thấy bằng chứng về khai thác chủ động. Tuy vậy, việc credential từng tồn tại công khai đủ lâu để quét tự động khiến đây vẫn là một nguy cơ bảo mật đáng kể, đặc biệt khi dữ liệu thuộc môi trường cloud và hệ thống nội bộ có đặc quyền cao.
Sự cố này nhấn mạnh rằng trong an ninh mạng, chỉ một sai sót cơ bản như lưu secrets không an toàn hoặc tắt cơ chế bảo vệ mặc định cũng có thể dẫn đến rò rỉ dữ liệu nhạy cảm trên diện rộng.
