La plataforma DevOps CircleCI revel\u00f3 el viernes que actores de amenazas no identificados comprometieron la computadora port\u00e1til de un empleado y aprovecharon el malware para robar sus credenciales respaldadas por autenticaci\u00f3n de dos factores para violar los sistemas y datos de la compa\u00f1\u00eda el mes pasado.<\/p>\n
El servicio de CI\/CD CircleCI dijo que el “ataque sofisticado” tuvo lugar el 16 de diciembre de 2022 y que el software antivirus no detect\u00f3 el malware.<\/p>\n
“El malware pudo ejecutar el robo de cookies de sesi\u00f3n, lo que les permiti\u00f3 hacerse pasar por el empleado objetivo en una ubicaci\u00f3n remota y luego escalar el acceso a un subconjunto de nuestros sistemas de producci\u00f3n”, Rob Zuber, director de tecnolog\u00eda de CircleCI, dicho<\/a> en un informe de incidente.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de la falla de seguridad revel\u00f3 que el tercero no autorizado rob\u00f3 datos de un subconjunto de sus bases de datos al abusar de los permisos elevados otorgados al empleado objetivo. Esto inclu\u00eda variables de entorno del cliente, tokens y claves.<\/p>\n Se cree que el actor de amenazas particip\u00f3 en una actividad de reconocimiento el 19 de diciembre de 2022, y luego llev\u00f3 a cabo el paso de exfiltraci\u00f3n de datos el 22 de diciembre de 2022.<\/p>\n “Aunque todos los datos extra\u00eddos se cifraron en reposo, el tercero extrajo las claves de cifrado de un proceso en ejecuci\u00f3n, lo que les permiti\u00f3 acceder potencialmente a los datos cifrados”, dijo Zuber.<\/p>\n El desarrollo se produce poco m\u00e1s de una semana despu\u00e9s de que CircleCI instara a sus clientes a rotar todos sus secretos, lo que, seg\u00fan dijo, era necesario despu\u00e9s de que uno de sus clientes lo alertara sobre una “actividad sospechosa de GitHub OAuth” el 29 de diciembre de 2022.<\/p>\n Al enterarse de que el token de OAuth del cliente se hab\u00eda visto comprometido, tom\u00f3 la medida proactiva de rotar todos los tokens de OAuth de GitHub, declar\u00f3 la compa\u00f1\u00eda, y agreg\u00f3 que trabaj\u00f3 con Atlassian para rotar todos los tokens de Bitbucket, revoc\u00f3 los tokens de API del proyecto y los tokens de API personales, y notific\u00f3 a los clientes. de tokens de AWS potencialmente afectados.<\/p>\n Adem\u00e1s de limitar el acceso a los entornos de producci\u00f3n, CircleCI dijo que ha incorporado m\u00e1s medidas de protecci\u00f3n de autenticaci\u00f3n para evitar el acceso ileg\u00edtimo incluso si se roban las credenciales.<\/p>\n Adem\u00e1s, planea iniciar la rotaci\u00f3n autom\u00e1tica peri\u00f3dica de tokens OAuth para todos los clientes para evitar tales ataques en el futuro, adem\u00e1s de introducir opciones para que los usuarios “adopten las funciones de seguridad m\u00e1s recientes y avanzadas disponibles”.<\/p>\n <\/p>\n