Selon GitGuardian (blog), un groupe nommé Crimson Collective a revendiqué une intrusion dans l’instance GitLab utilisée par Red Hat Consulting, avec exfiltration massive de données et exposition de secrets opérationnels. Red Hat a confirmé que l’incident concerne uniquement l’instance GitLab de consulting, sans impact sur sa chaîne d’approvisionnement logicielle. Le Centre pour la Cybersécurité de Belgique a publié un avis de haut risque à destination des clients des services de consulting Red Hat. 🚨
Les attaquants affirment avoir extrait 570 Go issus de 28 000 dépôts contenant des Customer Engagement Reports (CER), affectant environ 800 organisations à travers les secteurs des services financiers, de la technologie, des télécoms, du gouvernement et de la santé. L’incident met en lumière la vulnérabilité des cabinets de conseil comme points d’agrégation de secrets et les effets en cascade supply chain où la compromission d’un partenaire peut entraîner des intrusions chez de multiples clients.
Modus operandi indiqué:
- Accès initial à l’instance GitLab interne dédiée aux missions de consulting.
- Extraction systématique de dépôts de consulting et des CER.
- Minage d’identifiants via secrets codés en dur.
- Mouvement latéral revendiqué vers des environnements clients en utilisant les identifiants récupérés.
- Extorsion, puis divulgation publique.
Données exposées (exemples):
- Configurations IaC avec clés d’accès cloud.
- Chaînes de connexion base de données avec identifiants intégrés.
- Clés API et tokens de comptes de service.
- Paramètres VPN et détails d’accès réseau.
- Configurations CI/CD.
Mesures immédiates mentionnées dans le récapitulatif technique:
- Rotation complète des secrets: tokens d’authentification, identifiants BD, clés API, clés SSL/TLS et SSH, clés d’accès cloud.
- Audits de sécurité: revue des logs d’accès depuis septembre 2025, scan des dépôts internes à la recherche de secrets codés en dur, audit des configurations réseau, vérification d’intégrité des systèmes.
- Surveillance renforcée: déploiement de honeytokens, scans continus de secrets, suivi des usages d’API, revue des permissions d’accès tiers.
TTPs observées/rapportées: exfiltration de dépôts GitLab, credential mining, lateral movement, extorsion, divulgation. IOCs: non communiqués.
Il s’agit d’un rapport d’incident dont l’objectif principal est de décrire l’attaque, son impact, les données exposées et les actions de remédiation prioritaires.
🔗 Source originale : https://blog.gitguardian.com/red-hat-gitlab-breach-the-crimson-collectives-attack/