İhlal Bildirimi , Bulut Güvenliği , Olay ve İhlal Müdahalesi
Sürekli Entegrasyon Yazılım Geliştirme Platformu 2 Haftalık Saldırıdan Şüpheleniyor
Mathew J. Schwartz (euroinfosec) •
5 Ocak 2023
Şirket, CircleCI’deki bir güvenlik olayının, saldırganların müşterilerin kod geliştirme ortamlarına erişmesiyle sonuçlanmış olabileceği konusunda uyarıyor.
Ayrıca bakınız: Web Semineri | Buluta Geçişin Tehlikeli Çukuru: Uygulama Geliştirme Güvenliği
CircleCI, Çarşamba günü geç saatlerde kısa bir güvenlik bülteni yayınlayarak müşterileri “CircleCI’de saklanan tüm sırları döndürmeleri” konusunda uyarırken, açık bir izinsiz girişi ve veri ihlalini araştırmaya devam ediyor.
Alarmda, CircleCI CTO’su Rob Zuber, saldırganların son Noel ve Yeni Yıl tatillerinde iki haftalık bir süre boyunca platformunu ihlal etmiş olabileceğini söyledi.
CircleCI, otomatik geliştirme ve test boru hatları oluşturmak için kullanılabilen bir sürekli entegrasyon ve sürekli teslimat platformudur. Şirket, platformunun Airbnb, Google, Meta, Okta ve Salesforce gibi kuruluşlar da dahil olmak üzere 1 milyondan fazla geliştirici tarafından kullanıldığını söylüyor.
Şirket, saldırganların kaynak koda erişebildiğine, değiştirebildiğine veya çalamadığına inanıp inanmadığını açıklamadı.
Zuber, “Dikkatli olmak adına, tüm müşterilerin aşağıdaki işlemleri yapmalarını şiddetle tavsiye ediyoruz” diyor.
İlk olarak, “CircleCI’de depolanan tüm sırları derhal döndürün”, “proje ortam değişkenlerinde veya bağlamlarda depolanabileceğini” belirtiyor. Bir sır, bir kullanıcı adı ve parola kombinasyonu, bir API anahtarı, kasalara veya diğer gizli havuzlara erişim için kimlik bilgileri gibi herhangi bir hassas bilgi parçasıdır.
İkinci olarak CircleCI, tüm müşterilerinin 21 Aralık 2022’den 4 Ocak’a kadar “herhangi bir yetkisiz erişim için sistemlerinin dahili günlüklerini incelemelerini” tavsiye ediyor. Güvenlik uyarısı, saldırganların erişiminin dün kapatıldığını doğrudan söylemiyor kullandıkları erişim mekanizması artık engellenmiş gibi görünüyor. Bunun yerine Zuber, “Bu noktada, sistemlerimizde yetkisiz aktörlerin aktif olmadığından eminiz” diyor.
Üçüncüsü, API belirteçlerini veya CircleCI-speak’te Proje Belirteçlerini kullanan herhangi bir müşteri için şirket, bu belirteçleri geçersiz kıldığını ve yeniden yayınlanmaları gerekeceğini söylüyor.
Zuber, “İşinizin aksamasından dolayı özür dileriz” diyor. “Sistemlerimizin ve müşterilerimizin sistemlerinin güvenliğini son derece ciddiye alıyoruz. Bu olayı aktif olarak araştırırken, önümüzdeki günlerde müşterilerle daha fazla ayrıntı paylaşmaya kararlıyız.”
‘Müşteriler Mutlu Değil’
Yazılım mühendisleri, bir kod geliştirme platformunu içeren bu türden bir ihlalin iyi bir haber olmadığını söylüyor.
“Şirket daha fazla ayrıntı yayınlamıyor, ancak bu kulağa kötü geliyor” Gergely RusçaDaha önce Uber, Microsoft, Skype ve Skyscanner’da çalışmış uzun süreli bir yazılım mühendisi, Twitter aracılığıyla söylüyor. “Müşteriler en hafif tabirle mutlu DEĞİLDİR.”
Yazılım geliştiricilerin sürekli entegrasyon araçları için yalnızca iki gereksinimi vardır: Kodlarını oluşturmalarına yardımcı olmak ve bunu yaparken “güvenli kalmalarını” sağlamak, diyor. “Bu gidişle, hangi CI sistemlerine güvenilebileceği konusunda iyi bir soru var. Travis CI’nin itibarı alev alev yanıyor – Geçmiş olaylara dayanarak kimsenin bunları kullanmamasını şiddetle tavsiye ederim – ve bu, Circle CI ile çok kötü görünüyor. Makul şimdi güvenlik güvencesi istemek için.”
Orosz’un Travis CI ile bahsettiği sorun, sürekli entegrasyon satıcısının 2021’de binlerce açık kaynak projesi için imza anahtarları, API anahtarları ve erişim kimlik bilgileri gibi sırları açığa çıkaran bir güvenlik olayından muzdarip olmasıydı. Güvenlik uzmanları o sırada, bu sırların bilgisayar korsanlarının binlerce kuruluşun ağları içinde hareket etmesine olanak sağlayacağı konusunda uyarmıştı.
Travis CI, güvenlik topluluğu tarafından, müşterilere sırlarını döndürme tavsiyesi dışında olayla ilgili yetersiz ayrıntılar sağladığı için geniş çapta eleştirildi. Bu olay hakkında yorum yapan Avustralyalı yazılım ve DevOps mühendisi Geoffrey Huntley “Bir CI sağlayıcısı için, asla yapmak istemediğiniz en kötü şeylerden biri olarak kaynak kodunu sızdırmakla birlikte sırları sızdırmak da oradadır” dedi.