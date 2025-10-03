Bei Red Hat ist es zu einem Sicherheitsvorfall gekommen. Es handle sich um einen unbefugten Zugriff auf die Gitlab-Instanz, teilte das Unternehmen mit. Cyberkiminelle hatten zuvor behauptet, rund 28'000 interne Entwicklungs-Repositories gehackt zu haben.

Die Gruppe namens Crimson Collective gibt an, im Besitz eines Datensatzes von 570 Gigabyte zu sein. Auf Telegram veröffentlichte sie einen Verzeichnisbaum mit den Namen von Hunderten von Unternehmen, die ihren Angaben nach von dem Angriff betroffen sein sollen. Man habe Authentifizierungsschlüssel, vollständige Datenbank-URIs und andere private Informationen im Red-Hat-Code erbeutet und diese genutzt, um auf die nachgelagerte Kundeninfrastruktur zuzugreifen.

Zahlreiche Konzerne mögliche Opfer

Laut einer Analyse der Security-Firma SOC Radar würden diese Daten angeblich etwa 800 Customer Engagement Reports (CERs) umfassen, die vertrauliche Informationen über das Netzwerk und die Plattformen von Kunden enthalten können. Dazu würden Konzerne wie IBM, Cisco, Siemens, Bosch, Telefonica, Banken wie Santander, JPMorgan und HSBC, aber auch US-Regierungsstellen gehören.

In einem Blogbeitrag schreibt Red Hat: "Wir haben kürzlich einen unbefugten Zugriff auf eine Gitlab-Instanz festgestellt, die für die interne Zusammenarbeit von Red Hat Consulting in ausgewählten Projekten genutzt wird." Nach der Entdeckung habe das Unternehmen umgehend eine gründliche Untersuchung durchgeführt, den Zugriff des Bedrohungsakteurs entfernt, die Instanz isoliert und die zuständigen Behörden kontaktiert.

Keine Auswirkungen auf Red-Hat-Dienste

Gemäss Red Hat habe die Untersuchung ergeben, dass auf Daten dieser Instanz zugegriffen und diese kopiert wurden. Das Unternehmen nehme "die Sicherheit und Integrität unserer Systeme und der uns anvertrauten Daten äusserst ernst". Derzeit bestehe aber kein Grund zur Annahme, "dass dieses Sicherheitsproblem Auswirkungen auf andere unserer Red-Hat-Dienste oder -Produkte hat, einschliesslich unserer Software-Lieferkette".

Gitlab erklärte in einer eigenen Stellungnahme, man selbst sei nicht von dem Vorfall betroffen: "Es gab keine Sicherheitsverletzung der von Gitlab verwalteten Systeme oder Infrastruktur. Gitlab bleibt sicher und unbeeinträchtigt." Der Vorfall beziehe sich auf die selbstverwaltete Instanz von Gitlab Community Edition von Red Hat, dem kostenlosen Open-Core-Angebot. "Kunden, die kostenlose, selbstverwaltete Instanzen auf ihrer eigenen Infrastruktur einsetzen, sind für die Sicherheit ihrer Instanzen verantwortlich, einschliesslich der Anwendung von Sicherheitspatches, der Konfiguration von Zugriffskontrollen und der Wartung", so Gitlab.

Warnung der belgischen Security-Behörde

Bereits auf den Breach reagiert hat das Centre for Cybersecurity Belgium (CCB). Die Behörde warnt in einem Alert, die Gruppe Crimson Collective würde erbeutete Authentifizierungstoken nutzen, um auf Kundensysteme zuzugreifen. "CCB schätzt, dass dieser Verstoss ein hohes Risiko für belgische Organisationen darstellt, die Dienste von Red Hat Consulting in Anspruch genommen oder vertrauliche Informationen wie Anmeldeinformationen, Token oder Netzwerkdaten mit Red Hat geteilt haben", so die Security-Spezialisten.

Es bestehe auch die Möglichkeit von Auswirkungen auf die Lieferkette, wenn Dienstleister oder IT-Partner mit Red Hat Consulting zusammengearbeitet haben. CCB ruft mögliche Betroffene unter anderem dazu auf, alle Token, Schlüssel und Anmeldeinformationen zu rotieren, die mit Red Hat geteilt oder in Integrationen verwendet werden.