Analiz: CircleCI saldırganları, MFA’yı atlamak için oturum çerezini çaldı


[ This article was originally published here ]

John E. Dunn tarafından

Sektör, son bypass saldırıları karşısında çok faktörlü kimlik doğrulama (MFA) etrafındaki güvenliğe yeni bir bakış atıyor.

Çok faktörlü kimlik doğrulama (MFA), saldırganların sürekli baskısı altında kalıyor; bunun çarpıcı bir örneği, Aralık ayında DevOps platformu CircleCi’de ortaya çıkan bir ihlal.

yakın tarihli bir göre , saldırı, 16 Aralık’ta bir mühendisin dizüstü bilgisayarına AV tarafından tespit edilmeyen tek bir kötü amaçlı yazılım bulaşmasına kadar izlendi. Bunun uzlaşma için iyi bir hedef olduğu ortaya çıktı – mühendis, üretim erişim belirteçleri oluşturma ayrıcalıklarına sahipti.

Saldırganlar ilk olarak 2FA’yı geçen bir kurumsal SSO oturumunu ele geçirerek, bir haftadan daha kısa bir süre sonra erişimlerini, “müşteri ortamı değişkenleri, belirteçler ve anahtarlar” dahil olmak üzere veritabanlarının ve depoların bir alt kümesinden verileri çalmak için yeterince yükseltmelerine izin verdi.

Kısacası, kimliği doğrulanmış oturum tanımlama bilgisini ele geçirmek, saldırganların müşteri verilerini sızdırmak için mühendis kimliğine bürünerek 2FA katmanını atlamasına izin verdi.

Güncelleme, “Sızdırılan tüm veriler beklemedeyken şifrelenmiş olsa da, üçüncü taraf çalışan bir süreçten şifreleme anahtarlarını çıkardı ve şifrelenmiş verilere potansiyel olarak erişmelerini sağladı” dedi.

29 Aralık’ta bir CircleCI müşterisi, şirketi şüpheli GitHub OAuth etkinliği olarak değiştirerek tüm belirteçleri değiştirmesini istedi. 4 Ocak’ta bir bildiri yayımladı. müşteriye platformda saklanan tüm sırlar için aynısını yapmasını tavsiye etmek.

CircleCi nasıl yanıt verdi?

CircleCi, bu saldırıda kullanılan davranışları tespit etmek için AV sistemine bir buluşsal yöntem eklemenin yanı sıra, her yerdeki DevOps yöneticilerinin öğrenebileceği bir dizi değişiklik uyguladı:

  • Üretim ortamına erişebilen mühendis sayısını sınırladı
  • Kalan mühendis erişimi için ekstra 2FA kontrolleri eklendi
  • “Çeşitli üçüncü taraf satıcılar aracılığıyla” uzlaşmaya işaret edebilecek davranış türleri için izleme uygulandı.

çerezi geç

Bu, tek bir cihazdaki kötü amaçlı yazılımın gizliliğinin ihlal edilmesinin, saldırganların normalde iyi güvenlikli bir platformda 2FA kontrollerini atlamasına nasıl yol açabileceği sorununu hâlâ geride bırakıyor.

Yanıt şu ki, 2FA ve MFA güçlü bir denetim olsa da güvenlik açıkları da yok değil. Bunlar, örneğin, MFA’nın ne zaman ve nasıl gerekli olduğunun ince ayrıntılarını yöneten politikalara bağlı olabilir. Pratikte bu, MFA’nın bazı bağlamlarda istenip diğerlerinde istenmemesini veya yalnızca ilk erişim için istenmesini içerebilir.

Bu yaklaşım mantıklı ve gereklidir – çok fazla MFA, ekipleri ek kimlik doğrulama talepleriyle hızlı bir şekilde çıkmaza sokabilir. Ancak MFA’yı sınırlamak aynı zamanda daha yüksek risk getirir.

Bu saldırıdaki spesifik zayıflık, SSO kimlik doğrulama belirtecidir. Saldırganlar için yararlı olan bu, oluşturulur sonrasında MFA gerçekleşti. Saldırganın tek yapması gereken, oturum çerezini doğru zamanda almak için yerel ortamı tehlikeye atmaktır.

Bu yaklaşımın bir demosu, tanımlama bilgilerini iletme saldırılarıdır. Yaklaşık 2021’de, CircleCI’ninkinden farklı olmayan daha geniş bulut hizmetleriyle ilgili olarak. Çalınan çerezlerin bile bildirildiğine göre karanlık ağda. Tanımlama bilgisini geçmek, saldırganların MFA’yı yenmeye çalıştıkları tek yol değildir, ancak savunucuların artık dikkate almaması gereken tek yol bu olabilir. Her halükarda, bu bir öğrenme fırsatı ve dağıtımını incelemek ve potansiyel zayıf noktaları değerlendirmek için MFA kullanan herhangi bir kuruluş için iyi bir bahane.

reklam





Source link