CicleCI’de yakın zamanda ifşa edilen güvenlik olayı, müşterilerin sistemlerinde saklanan sırları güncelleme konusunda sıkıntıya düşmesine neden oldu.
Şirket, 4 Ocak tarihli duyurusunda ve düzenli, müteakip güncellemelerde, CI/CD DevOps platformunun müşterilerinin – her türden belirteçler ve anahtarlar dahil olmak üzere – korunan verilerini güncellemeleri gerektiğini söyledi.
Ancak şirket, kullanıcılarına CircleCI ile uygulama geliştirmenin hâlâ güvenli olduğu konusunda güvence verdi.
Ekiplerin potansiyel olarak etkilenen tüm sırları takip etmesine yardımcı olacak araçları paylaşmanın yanı sıra CircleCI, olası ihlal belirteçlerine sahip olanları bilgilendirmek için AWS ile birlikte çalıştığını duyurdu. CircleCI, şirketin GitHub ve Bitbucket 0Auth belirteçlerini de proaktif olarak güncellediğini söyledi. bildirildi.
CircleCI ayrıca müşterileri, sahte bir Hizmet Şartları güncellemesiyle kurbanları GitHub girişlerine girmeye ikna etmeye çalışan bir kimlik bilgisi toplama dolandırıcılığı konusunda uyardı.
CircleCI Güvenlik Olayı Fallout
CircleCI güvenlik olayının bildirilmesinin ardından Datadog’daki araştırmacılar, bir RPM GNU Privacy Guard (GPG) özel imzalama anahtarının ve parolasının da savunmasız olduğunu keşfetti. Datadog ekibi herhangi bir istismar kanıtı bulamamasına rağmen, RPM anahtarlarını güncellediler. Ekip ayrıca, sistemin etkilenen GPG anahtarına güvendiği RPM tabanlı bir Linux dağıtımı çalıştıranlar için önemli güncellemeler önerdi.
Datadog’dan gelen uyarıda, “İmza anahtarı, gerçekten sızdırılırsa, Datadog’dan geliyormuş gibi görünen bir RPM paketi oluşturmak için kullanılabilir, ancak böyle bir paketi resmi paket havuzlarımıza yerleştirmek yeterli olmaz.” “Etkilenen anahtara sahip varsayımsal bir saldırganın, oluşturulan RPM paketini sistem tarafından kullanılan bir havuza yükleyebilmesi gerekir.”