美国网络安全和基础设施安全局(CISA)本应是守护国家关键基础设施的盾牌,但最近他们却把自家后门的钥匙丢在了大马路上。据安全研究员Brian Krebs披露,CISA的大量明文密码、SSH私钥、身份验证令牌以及其他敏感资产,在一个公开的GitHub代码仓库中暴露了至少数月之久。
这个仓库的名字颇具讽刺意味——"Private-CISA"(私有CISA)。数据显示,该仓库从2025年11月起就处于公开可访问状态,直到最近才被下线。GitGuardian公司的安全专家Guillaume Valadon最先察觉到了这个漏洞。GitGuardian专门从事公共代码扫描以寻找意外泄露的敏感信息。Valadon在发现该仓库后,试图联系其所有者,但在未得到任何回应的情况下,他选择将此事提交给Brian Krebs以引起公众关注。
泄露的内容中,SSH私钥是最危险的资产之一。SSH(Secure Shell)是一种加密网络传输协议,用于在不安全的网络中安全地操作网络服务。SSH私钥相当于服务器的最高级别物理钥匙,任何拿到这把钥匙的人都可以绕过密码验证,直接以管理员身份登录CISA的相关系统。而明文密码和身份验证令牌的暴露,同样意味着攻击者可以轻易获取系统访问权限,甚至在不同的内部服务之间横向移动。
被主动关闭的安全防线
更令人费解的是技术层面的细节。Valadon在检查该仓库的提交日志时发现,GitHub默认的防密钥提交保护机制已被管理员主动禁用。
GitHub为了防止开发者无意中将密码或密钥等敏感信息推送到代码库,内置了一套推送保护机制。当系统检测到代码中包含类似API密钥或私钥的字符串时,会自动拦截并发出警告,要求开发者确认或移除这些敏感信息。这原本是防止此类低级失误的最后一道防线。然而,"Private-CISA"仓库的管理员却手动关闭了这一功能。在提交日志中,可以清晰地看到管理员绕过了GitHub的安全拦截提示,执意将这些凭证公开推送到了代码库中。这就像是你不仅把钥匙丢在了门口,还特意把门锁的防撬装置给拆了。
CISA作为联邦政府负责网络安全的核心机构,其内部代码仓库的管理规范理应处于最高标准。公开的GitHub仓库通常用于开源项目或团队协作,绝不应该被用来存储任何生产环境的敏感凭证。将包含明文密钥的代码提交到公共平台,本身就是严重的操作失误;而主动关闭平台提供的安全防护,则让这种失误变成了一场彻头彻尾的管理灾难。
信任危机与后续排查
目前该仓库已被设为不可访问状态,但无法确定在暴露的这段时间内,这些凭证是否已被恶意行为者获取并利用。对于CISA而言,接下来的工作不仅是更换所有泄露的密钥和密码,还需要彻底审查相关系统的访问日志,排查任何潜在的入侵痕迹。
在云原生和DevOps广泛普及的今天,代码仓库已经成为企业最核心的资产存储地之一。硬编码凭证(将密码或密钥直接写在代码中)一直是代码泄露中最高频的风险点。CISA此次的失误暴露出其内部在密钥管理流程上的巨大漏洞。敏感凭证应当通过专用的密钥管理系统进行动态分发,而非静态地写在代码或配置文件中。这起事件也给整个技术行业敲响了警钟:安全工具的防护能力再强,也挡不住操作者对安全规则的漠视。