紅帽顧問服務 GitLab 遭駭!2.8 萬私有儲存庫恐外洩客戶機敏資料
回到上一頁

紅帽顧問服務 GitLab 遭駭!2.8 萬私有儲存庫恐外洩客戶機敏資料

2025-10-03
全球知名的 Linux 軟體大廠紅帽(Red Hat) 近日驚傳資安事件,其用於顧問服務的 GitLab 實例(instance) 遭到網路犯罪份子入侵,導致數以萬計的私有程式碼儲存庫(private repositories)恐遭外洩。據悉,一個名為「Crimson Collective」的勒索集團已出面坦承犯案,並聲稱已掌握 28,000 個紅帽的私人儲存庫資料,其中不僅包含軟體原始碼,更驚人地內含客戶的「客戶參與報告(CERs)」,這對所有曾採用紅帽顧問服務的客戶來說,無疑是一枚震撼彈。
 
 

駭客集團宣稱掌握 2.8 萬私有儲存庫

 
根據資安新聞網站《Dark Reading》於 2025 年 10 月 2 日的報導,一名自稱與 Crimson Collective 相關的匿名人士,透過電子郵件向媒體界發出聲明,詳細揭露了這次攻擊行動。該人士宣稱,他們已成功攻破紅帽的 GitLab 實例,並竊取了 28,000 個私人儲存庫。
 
紅帽發言人隨後向媒體證實了這起資安事件,並特別澄清這次攻擊是針對「紅帽顧問業務專用的 GitLab 實例」,與一般被廣泛使用的 GitHub 平台無關。發言人強調:「紅帽已知悉有關我方顧問業務資安事件的報告,並已啟動必要的補救措施。」同時,紅帽也試圖安撫大眾,聲明「目前沒有理由相信這個資安問題會影響我們其他紅帽服務或產品,我們對軟體供應鏈的完整性抱持高度信心。」
 
然而,駭客集團 Crimson Collective 在給《Dark Reading》的訊息中,自稱是一個「基本上只為牟利工作的勒索軟體集團」,並威脅若受害組織不進行溝通或談判,他們將會公布所有竊取的資料。該集團更進一步指出,他們取得的 CERs 檔案包含了「紅帽自身對客戶進行基礎設施審計(infrastructure audit)的所有細節。」
 
 

CERs 檔案曝光風險高 恐含網路組態與密鑰

 
這次事件中最令人擔憂的,莫過於駭客聲稱竊取到的「客戶參與報告(CERs)」。雖然紅帽方面尚未詳細說明 CERs 的內容,但比利時網路安全中心(CCB)在週四發布的資安警報中指出,這些報告可能包含極為敏感的資訊,包括:
  1. 網路資訊(Network Information):客戶的網路架構細節。
  2. 配置資料(Configuration Data):系統和服務的設定資訊。
  3. 身份驗證憑證和密鑰(Authentication Tokens and Keys):可能包括帳號密碼、API 金鑰、加密金鑰等。
 
CCB 將這次事件對使用紅帽顧問服務的比利時組織,列為「高風險(high risk)」等級。警報中直言:「如果您的服務供應商或 IT 合作夥伴曾與紅帽顧問服務合作過,也存在潛在的供應鏈影響。」
 
 
這意味著,任何曾聘用紅帽顧問服務的公司,其核心的網路藍圖、系統組態甚至是高權限的存取憑證,都可能已掌握在網路犯罪集團手中,其後果不堪設想。
 

供應鏈資安威脅再拉警報

 
紅帽的這次遭駭事件,無疑是今年來一系列供應鏈資安威脅的最新案例,再次凸顯出程式碼儲存庫已成為駭客集團的重點攻擊目標。
 

供應鏈攻擊手法日益精密

 
 
今年以來,透過攻擊第三方合作夥伴的程式碼或系統,進而滲透核心目標組織的案例屢見不鮮。例如,今年夏天發生的大規模 Salesforce 客戶環境洩露事件,起初就是源於一個第三方合作夥伴的 GitHub 帳戶被盜。駭客組織 UNC6395 成功入侵 Salesforce 合作夥伴 Salesloft 的 GitHub 帳戶,並利用竊取的 OAuth 憑證,進一步存取了客戶的 Salesforce 環境。
 
GitLab 平台本身也頻頻成為焦點。早在 2024 年 5 月,駭客曾利用一個評分滿分 10 分的嚴重漏洞(CVE-2023-7028),成功接管了部分 GitLab 帳戶。隨後 GitLab 又修補了兩個影響 CI/CD 流程的關鍵漏洞(CVE-2024-5655 和 CVE-2024-6385)。
 
 

紅帽自管 GitLab 成破口

 
儘管這次攻擊目標是紅帽的 GitLab 實例,但 GitLab 公司已向媒體發出聲明,澄清其託管系統和基礎設施並未被入侵,GitLab 平台仍然安全無虞
 
GitLab 在聲明中指出:「這次事件指的是紅帽自行管理(self-managed)GitLab 社區版(Community Edition)實例,這是我們免費的開源產品。」聲明強調,選擇在自己的基礎設施上部署免費、自管實例的客戶,必須自行承擔實例的資安責任,包括應用安全補丁、配置存取控制和維護
 
目前,Crimson Collective 尚未說明他們是如何攻破紅帽的自管 GitLab 實例。但 GitLab 已呼籲所有使用自管實例的客戶,應立即更新至最新版本,並嚴格遵循官方發布的資安指南與最佳實踐。
 
 

客戶緊急應變:全面更換憑證

 
面對高度的資料外洩風險,CCB 已向所有相關組織發出緊急行動建議
  1. 輪換所有憑證(Rotate All Credentials):立即更換所有曾與紅帽共享,或用於任何紅帽整合服務中的令牌(tokens)、密鑰(keys)和憑證(credentials)。
  2. 清查供應鏈影響:聯絡所有第三方 IT 服務供應商,確認他們是否曾使用紅帽顧問服務,以評估潛在的暴露風險。
 
紅帽作為開源技術與企業級 Linux 解決方案的領導者,其資安事件不僅影響自身商譽,更為其龐大的企業客戶群帶來實質的營運與資安風險。這起事件再次提醒所有企業,即使是技術巨頭,其供應鏈中的任何一個環節,都可能成為駭客入侵的致命破口,持續監控與強化第三方服務的資安防護,已是刻不容緩的要務
 
 
建議所有曾使用紅帽顧問服務的台灣企業,應立即比照 CCB 的建議,對相關系統進行全面資安清查與憑證輪換,以預防潛在的二次攻擊或資料洩露。