La plataforma DevOps CircleCI reveló el viernes que actores de amenazas no identificados comprometieron la computadora portátil de un empleado y aprovecharon el malware para robar sus credenciales respaldadas por autenticación de dos factores para violar los sistemas y datos de la compañía el mes pasado.
El servicio de CI/CD CircleCI dijo que el «ataque sofisticado» tuvo lugar el 16 de diciembre de 2022 y que el software antivirus no detectó el malware.
«El malware pudo ejecutar el robo de cookies de sesión, lo que les permitió hacerse pasar por el empleado objetivo en una ubicación remota y luego escalar el acceso a un subconjunto de nuestros sistemas de producción», Rob Zuber, director de tecnología de CircleCI, dicho en un informe de incidente.
Un análisis más detallado de la falla de seguridad reveló que el tercero no autorizado robó datos de un subconjunto de sus bases de datos al abusar de los permisos elevados otorgados al empleado objetivo. Esto incluía variables de entorno del cliente, tokens y claves.
Se cree que el actor de amenazas participó en una actividad de reconocimiento el 19 de diciembre de 2022, y luego llevó a cabo el paso de exfiltración de datos el 22 de diciembre de 2022.
«Aunque todos los datos extraídos se cifraron en reposo, el tercero extrajo las claves de cifrado de un proceso en ejecución, lo que les permitió acceder potencialmente a los datos cifrados», dijo Zuber.
El desarrollo se produce poco más de una semana después de que CircleCI instara a sus clientes a rotar todos sus secretos, lo que, según dijo, era necesario después de que uno de sus clientes lo alertara sobre una «actividad sospechosa de GitHub OAuth» el 29 de diciembre de 2022.
Al enterarse de que el token de OAuth del cliente se había visto comprometido, tomó la medida proactiva de rotar todos los tokens de OAuth de GitHub, declaró la compañía, y agregó que trabajó con Atlassian para rotar todos los tokens de Bitbucket, revocó los tokens de API del proyecto y los tokens de API personales, y notificó a los clientes. de tokens de AWS potencialmente afectados.
Además de limitar el acceso a los entornos de producción, CircleCI dijo que ha incorporado más medidas de protección de autenticación para evitar el acceso ilegítimo incluso si se roban las credenciales.
Además, planea iniciar la rotación automática periódica de tokens OAuth para todos los clientes para evitar tales ataques en el futuro, además de introducir opciones para que los usuarios «adopten las funciones de seguridad más recientes y avanzadas disponibles».