美国网络安全和基础设施安全局(CISA)近期卷入了一场令人尴尬的安全事件。据安全研究员Brian Krebs报道,该机构的大量明文密码、SSH私钥、访问令牌以及其他敏感资产,在一个公开的GitHub代码库中暴露无遗,且暴露时间至少可以追溯到2025年11月。
代码库的发现与追踪
这个现已下线的代码库名为Private-CISA,从命名上看颇具讽刺意味。发现该漏洞的是安全公司GitGuardian的研究员Guillaume Valadon。GitGuardian长期监控公共代码库中的敏感信息泄露,其自动化扫描工具在捕获到这个异常仓库后触发了警报。按照安全社区的惯例,Valadon首先尝试联系Private-CISA代码库的所有者,希望对方能自行处理。但在未得到任何回应后,他选择将线索交给了Krebs以扩大警示范围,促使官方采取行动。
被主动关闭的安全防线
最令人费解的技术细节隐藏在代码库的提交日志中。Valadon在致Krebs的邮件中明确指出,日志显示该代码库的管理员主动禁用了GitHub默认的防密钥提交保护机制(push protection)。这项机制的设计初衷,正是为了防止缺乏经验或粗心的开发者将密钥等敏感信息意外推送到公开代码库。当开发者试图推送包含硬编码密钥的代码时,该机制会拦截操作并发出警告。而CISA相关代码库的管理员不仅绕过了这层防线,还选择将其彻底关闭,这表明泄露并非单纯的操作失误,而是对安全规范的公然无视。
泄露资产的潜在危害
从技术危害来看,这次泄露的资产组合极具破坏力。明文密码和访问令牌可以让攻击者直接获取系统或服务的初始访问权限;而SSH私钥的泄露则更为致命,SSH(Secure Shell)是一种加密的网络传输协议,私钥相当于进入服务器的最高级数字钥匙,持有者可以无需密码直接登录目标服务器,甚至在内部网络中横向移动。对于监控公网代码库的自动化爬虫或恶意攻击者而言,这类包含高价值凭证的公开仓库是首选目标。
CISA作为联邦政府负责统筹国家级网络安全防御的核心机构,其职责包括发布安全警告、指导各机构修补漏洞以及抵御外部威胁。当这样一个机构自身将明文凭证暴露在公网,且主动关闭平台提供的安全护栏时,其造成的影响远超一般的代码泄露事件。这反映出安全意识与实际操作规范之间的严重脱节。安全防护从来不是单纯依靠工具堆砌,即使平台提供了拦截机制,拥有管理员权限的用户依然可以轻易将其关闭。
目前该代码库已经下线,受影响的凭证和密钥理论上也应被轮换或撤销。但直到被外部研究人员发现并介入之前,这些敏感信息在公网上的暴露时间已经无法精确计算。在复杂的网络威胁环境中,几分钟的凭证暴露就可能引发严重的入侵事件,而长达数月的公开暴露更是让后续的损失评估变得异常困难。此次事件不仅让CISA的声誉受损,也给整个行业敲响了警钟:内部安全管理的松懈,往往比外部攻击更具毁灭性。