Zum Inhalt springen

Grafana-Sicherheitsverletzung durch übersehenes Token-Rotation nach TanStack-Angriff

Auf den Punkt: Ein übersehenes GitHub-Token nach dem TanStack-Angriff ermöglichte es Hackern, auf Grafanas private Repositories zuzugreifen. Das Unternehmen bestätigt: Keine Kundendaten oder Produktionssysteme waren betroffen.

Ein vergessenes GitHub-Workflow-Token verursachte die Grafana-Datenpanne. Nach dem TanStack-npm-Supply-Chain-Angriff übersah das Unternehmen ein Token bei der Rotation, woraufhin Angreifer Zugriff auf private Repositories erhielten.

Die Grafana-Sicherheitsverletzung wurde durch ein einziges GitHub-Workflow-Token ausgelöst, das beim Rotationsprozess nach dem TanStack-npm-Supply-Chain-Angriff übersehen wurde. Dabei hatten Dutzende von TanStack-Paketen, infiziert mit Credential-Stealing-Code, die npm-Registry kompromittiert. Als das böswillige Paket von Grafanas CI/CD-Workflow konsumiert wurde, führte das Informations-Stealer-Modul in der GitHub-Umgebung zu einer Exfiltration von Workflow-Tokens an die Angreifer.

Das Unternehmen entdeckte die böswillige Aktivität am 1. Mai und leitete sofort Gegenmaßnahmen ein, einschließlich der Rotation mehrerer GitHub-Workflow-Tokens. Allerdings übersah man ein Token während dieses Prozesses, was den Angreifern Zugriff auf Grafanas private Repositories ermöglichte. Eine Überprüfung bestätigte später, dass ein ursprünglich als nicht kompromittiert bewerteter Workflow tatsächlich betroffen war.

Die weitere Untersuchung ergab, dass die Eindringlinge neben Quellcode auch operative Geschäftsinformationen – darunter Kontaktnamen und E-Mail-Adressen – heruntergeladen hatten. Grafana betont jedoch, dass keine Kundendaten oder Produktionssysteme kompromittiert wurden. Die Codebasis wurde nicht verändert, daher sind heruntergeladene Versionen sicher. Das Unternehmen verspricht, betroffene Kunden bei neuen Erkenntnissen unmittelbar zu benachrichtigen.

Share on: