Кибербезопасность выявила критический вектор атак через скомпрометированные ключи
Исторически проблема связана с CVE-2018-15133 (уязвима Laravel до версии 5.6.30), но угроза сохраняется в новых версиях при настройке
63% утечек
Традиционное удаление секретов из репозиториев неэффективно: инструменты вроде Binarly обнаружили 644 уникальных ключа в 80 000 Docker-образов от 54 организаций. Секреты прячутся в бинарниках, конфигах и даже клонированных репозиториях.
Новый риск исходит от Model Context Protocol (MCP) для ИИ-агентов: 2% репозиториев содержат секреты MCP-серверов — чаще, чем в среднем по GitHub (4.6%). Это создаёт свежий вектор для утечек.
Срочные меры:
- Управляйте
APP_KEY в Laravel, затрагивающий свыше 600 приложений. Исследователи совместно с Synacktiv проанализировали 260 000 ключей, утекших на GitHub с 2018 по 30 мая 2025 года. Изображение носит иллюстративный характер
APP_KEY — 32-байтовый ключ шифрования из файла .env — обеспечивает защиту данных, генерацию токенов и цифровых подписей. Его компрометация позволяет злоумышленникам выполнить удалённый код (RCE) через уязвимость десериализации. Как пояснил эксперт Гийом Валадон: «Атакующие вызывают функцию decrypt() со злонамеренным payload, получая контроль над сервером». Исторически проблема связана с CVE-2018-15133 (уязвима Laravel до версии 5.6.30), но угроза сохраняется в новых версиях при настройке
SESSION_DRIVER=cookie. Доказательством служит CVE-2024-55556. Реальные атаки уже фиксировались: ботнет AndroxGh0st сканировал GitHub в поисках открытых .env-файлов Laravel. 63% утечек
APP_KEY происходят из .env-файлов, часто содержащих AWS-токены, пароли СУБД и секреты GitHub. Особо опасны 28 000 пар «APP_KEY + APP_URL»: 10% из них действительны, что открывает 120 приложений для мгновенного RCE. Наличие APP_URL упрощает кражу сессионных кук и их расшифровку. Традиционное удаление секретов из репозиториев неэффективно: инструменты вроде Binarly обнаружили 644 уникальных ключа в 80 000 Docker-образов от 54 организаций. Секреты прячутся в бинарниках, конфигах и даже клонированных репозиториях.
Новый риск исходит от Model Context Protocol (MCP) для ИИ-агентов: 2% репозиториев содержат секреты MCP-серверов — чаще, чем в среднем по GitHub (4.6%). Это создаёт свежий вектор для утечек.
Срочные меры:
- Немедленно смените
APP_KEYи разверните его на production-серверах. - Внедрите постоянный мониторинг секретов в CI/CD, Docker-образах и коде.
- Для защиты от десериализации (с помощью инструментов вроде
phpggc) используйте централизованное сканирование уязвимостей и руководства по усилению безопасности Laravel.
- Управляйте
.env-файлами и секретами контейнеров через secure-by-design практики во всех фреймворках.
