CircleCI, bir güvenlik olayını ifşa ettikten ve müşterilerinden sırlarını döndürmelerini istemesinin ardından müşteri öfkesi ve olası düzenleyici soruşturmayla karşı karşıya. Ancak Mitiga Baş Güvenlik Araştırmacısı ve Geliştiricisi Or Aspir, CircleCI müşterilerinin derhal proaktif savunma önlemlerine başlaması gerektiği konusunda uyardı.
Sürekli entegrasyon ve sürekli teslimat hizmetlerinin en büyük sağlayıcılarından biri olan San Francisco merkezli şirket – bir uyarı yayınladı bir “güvenlik olayı” nedeniyle tüm sırlarını döndürmek için 4 Ocak’ta müşterilerine.
Şirket şu anda bir soruşturmanın sürdüğünü belirtti, ancak müşterilere “sistemlerimizde yetkisiz aktörlerin aktif olmadığı” konusunda güvence verdi.
Müşterilerini, 21 Aralık 2022 ile 4 Ocak 2023 arasında veya sırlar döndürülene kadar yetkisiz erişim belirtileri için dahili günlükleri incelemeye çağırdı. Müşteriler adına GitHub OAuth belirteçlerini döndürmeyi tamamladığını söyleyerek danışma belgesini 7 Ocak’ta güncelledi.
Ancak Mitiga’s Or Aspir, The Cyber Express’e verdiği demeçte, müşterilerin yalnızca verileri döndürmek yerine GitHub veya AWS gibi bağlantılı platformlarda herhangi bir ihlal olmadığından emin olmak için tüm entegre SaaS ve bulut platformlarında kötü amaçlı eylemleri araması gerektiğini söyledi.
CircleCI ve koddaki sırlar
Sırları kodda tutmak iyi bilinen bir güvenlik tehlikesidir, ancak koda dayalı otomasyon ve CI/CD’deki gelişmelerle birlikte, hala yaygın olarak kullanılan bir uygulamadır. Ne yazık ki, CircleCI’de yakın zamanda meydana gelen bir güvenlik olayının da gösterdiği gibi, bunun ciddi sonuçları olabilir.
Olayın kesin ayrıntıları hala belirsiz, ancak CircleCI CTO’su Rob Zuber müşterilere derhal harekete geçmelerini tavsiye etti. Buna, CircleCI’de saklanan sırların döndürülmesi, dahili günlüklerin yetkisiz erişim için incelenmesi ve tüm Proje API belirteçlerinin değiştirilmesi dahildir.
Olaya rağmen Zuber, müşterilerine projelerini CircleCI’nin hizmeti üzerine inşa etmeye devam edebilecekleri konusunda güvence veriyor. Aspir, The Cyber Express’e sorunun kaynağının tam olarak bu olduğunu söyledi.
CircleCI platformunun kullanıcıları, GitHub, Jira, Kubernetes ve AWS gibi kullandıkları diğer SaaS ve Bulut sağlayıcıları ile entegre eder. Her entegrasyon, müşteri CircleCI platformuna kimlik doğrulama belirteçleri ve sırları sağladığında gerçekleşir.
Bu aynı zamanda CircleCI’ye erişen bir tehdit aktörünün platformda saklanan sırlara erişebileceği anlamına gelir. Bu nedenle, müşterinin CircleCI platformunu içeren bir güvenlik olayı, tüm bağlı SaaS platformlarını ve bulut sağlayıcılarını riske atar.
CircleCI döngülerini avlama ihtiyacı
Peki tehdit yeterince büyük mü? “Aklınıza gelebilecek herhangi bir tehdit,” Aspir, Cyber Express’e söyledi.
“AWS kullanıcısının kimlik bilgilerini CircleCI platformuna kaydettiğinizi varsayalım. Bilgisayar korsanı, kimlik bilgilerini çalabilir ve o kullanıcıya giriş yapabilir ve veri çalmak, bilgi işlem kaynaklarında kripto madenciliği yapmak ve daha fazlası gibi o kullanıcı tarafından sağlanan izinleri yapabilir.”
“Potansiyel tehdide başka bir örnek, CircleCI platformunun şirketin Git deposuyla entegre olup olmadığıdır. Saldırgan, CircleCI platformunda kayıtlı Git kimlik bilgilerini çalarsa şirket kodunu çalabilir.”
Göre Mitiga tehdit avı rehberi, CircleCI güvenlik ekibinin paylaştığı ayrıntılar eksik. Bu noktaları göz önünde bulundurarak CircleCI denetim günlüklerindeki şüpheli etkinliklerin izlenmesini önerdi.
CircleCI’nin denetim günlükleri, hangi aktör tarafından, hangi hedef üzerinde ve ne zaman gerçekleştirilen eylemler hakkında bilgi sağlar. Dikkat edilmesi gereken faktörler
Olayı yaratan gerçekleştirilen eylem: Biçim, noktalarla ayrılmış, ASCII küçük harfli sözcüklerdir ve ilk olarak varlık üzerinde işlem yapılır ve işlem son olarak gerçekleştirilir. Bazı durumlarda varlıklar iç içedir, örneğin workflow.job.start.
Bu etkinliği gerçekleştiren aktör: Çoğu durumda bu, bir CircleCI kullanıcısı olacaktır. Bu veriler, her zaman kimlik ve tür içerecek ve muhtemelen ad içerecek bir JSON bloğudur.
Bu olay için üzerinde işlem yapılan hedef veya varlık örneği: Örneğin, bir proje, bir kuruluş, bir hesap veya bir yapı. Bu veriler, her zaman kimlik ve tür içerecek ve muhtemelen ad içerecek bir JSON bloğudur.
Yük: Eyleme özgü bilgilerden oluşan bir JSON bloğu. Yük şemasının, aynı eylem ve sürüme sahip tüm olaylar için tutarlı olması beklenir.
Saat: UTC’de meydana gelen olayın ne zaman meydana geldiği, dokuz basamağa kadar kesirli kesinlik ile ISO-8601 biçiminde ifade edilir. Örneğin: ‘2017-12-21T13:50:54.474Z’.
“Güvenlik personeli, olayla ilgili tüm sırları veya belirteçleri döndürerek yaptıklarını düşünebilir. Ancak olayın zaman çizelgesinin 21 Aralık 2022’den 4 Ocak 2023’e kadar olduğunu hatırlamamız gerekiyor” dedi Aspir.
“Dolayısıyla, bu süre zarfında bir bilgisayar korsanı, CircleCI platformuyla yapılandırılmış diğer SaaS platformlarında kimlik doğrulaması yapabilir ve erişim elde edebilir veya verileri ve diğer kötü amaçlı eylemleri indirebilir. Bu nedenle, geri dönüp tüm bu SaaS sağlayıcılarını araştırmanız gerekiyor.”
CircleCI ve bir dizi talihsiz olay
Kasım ayında, CircleCI uyardı şirkettenmiş gibi davranan saldırganlar tarafından kuruluşlara yönelik kimlik avı saldırıları girişimi hakkında.
Şirket CTO’su Rob Zuber, “CircleCI’nin sistemlerinin hiçbiri tehlikeye atılmadı ve müşterilerimizin verileri ve bilgileri güvende olmaya devam ediyor” diye yazmıştı.
“Müşterilerimizin verilerinin gizliliği ve güvenliği CircleCI için çok önemlidir ve kod havuzlarına erişim elde etme girişimlerine karşı tetikte ve farkında olmanızı hatırlatmak istiyoruz.”
Aralık 2022’de şirket ilan edildi çalışanlarının %17’sini işine son veriyor. CEO Jim Rose, “Bu büyüklükte bir şey olduğunda, işler her zamanki gibi olmaz” diye yazmıştı. Sözler şimdi kehanet gibi görünüyor.