DevOps platformu CircleCI Cuma günü, kimliği belirsiz tehdit aktörlerinin bir çalışanın dizüstü bilgisayarını ele geçirdiğini ve geçen ay şirketin sistemlerini ve verilerini ihlal etmek için iki faktörlü kimlik doğrulama destekli kimlik bilgilerini çalmak üzere kötü amaçlı yazılımdan yararlandığını açıkladı.
CI/CD hizmeti CircleCI, “sofistike saldırının” 16 Aralık 2022’de gerçekleştiğini ve kötü amaçlı yazılımın antivirüs yazılımı tarafından tespit edilmediğini söyledi.
CircleCI’nin baş teknoloji sorumlusu Rob Zuber, “Kötü amaçlı yazılım, oturum tanımlama bilgisi hırsızlığını gerçekleştirerek uzak bir konumda hedeflenen çalışanın kimliğine bürünmelerine ve ardından üretim sistemlerimizin bir alt kümesine erişimi artırmalarına olanak tanıdı,” dedi. dedim bir olay raporunda.
Güvenlik açığının daha ayrıntılı analizi, yetkisiz üçüncü tarafın, hedeflenen çalışana verilen yükseltilmiş izinleri kötüye kullanarak veritabanlarının bir alt kümesinden veri çaldığını ortaya çıkardı. Buna müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahildir.
Tehdit aktörünün 19 Aralık 2022’de keşif faaliyetinde bulunduğu, ardından 22 Aralık 2022’de veri sızdırma adımını gerçekleştirdiğine inanılıyor.
Zuber, “Sızdırılan tüm veriler beklemedeyken şifrelenmiş olsa da, üçüncü taraf çalışan bir süreçten şifreleme anahtarlarını çıkardı ve potansiyel olarak şifrelenmiş verilere erişmelerini sağladı” dedi.
Gelişme, CircleCI’nin müşterilerinden biri tarafından 29 Aralık 2022’de “şüpheli GitHub OAuth etkinliği” konusunda uyarılmasının ardından gerekli olduğunu söylediği tüm sırlarını döndürmeye çağırmasından bir haftadan biraz daha uzun bir süre sonra geldi.
Müşterinin OAuth belirtecinin ele geçirildiğini öğrendikten sonra proaktif olarak tüm GitHub OAuth belirteçlerini döndürme adımını attığını belirten şirket, tüm Bitbucket belirteçlerini döndürmek için Atlassian ile birlikte çalıştığını, Proje API Belirteçlerini ve Kişisel API Belirteçlerini iptal ettiğini ve müşterileri bilgilendirdiğini sözlerine ekledi. Potansiyel olarak etkilenen AWS jetonlarının sayısı.
CircleCI, üretim ortamlarına erişimi sınırlamanın yanı sıra, kimlik bilgileri çalınsa bile yasa dışı erişimi önlemek için daha fazla kimlik doğrulama korkuluğu eklediğini söyledi.
Ayrıca, kullanıcılara “mevcut en yeni ve en gelişmiş güvenlik özelliklerini benimseme” seçenekleri sunmanın yanı sıra, gelecekte bu tür saldırıları caydırmak için tüm müşteriler için periyodik otomatik OAuth jeton rotasyonu başlatmayı planlıyor.