CircleCI, mühendislerinden birinin dizüstü bilgisayarında yetkisiz bir üçüncü tarafın kötü amaçlı yazılımdan yararlanarak geçerli bir 2FA destekli tek oturum açma oturumunu çaldığını söyledi. Merakla beklenen rapora göre Bu ayın başlarında açıklanan bir güvenlik olayından kaynaklanan.
Şirket, mühendisin dizüstü bilgisayarının 16 Aralık’ta ele geçirildiğini, ancak şirketin antivirüs yazılımının kötü amaçlı yazılımı tespit edemediğini söyledi.
CircleCI CTO’su Rob Zuber, güncellenen blog yazısında, “Araştırmamız, kötü amaçlı yazılımın uzak bir konumda hedeflenen çalışanın kimliğine bürünmesine ve ardından üretim sistemlerimizin bir alt kümesine yayılmasına olanak tanıyarak oturum çerezi hırsızlığı gerçekleştirebildiğini gösteriyor.”
Şirket, beşten az müşterinin üçüncü taraf sistemlere yetkisiz erişim yaşadıklarını söyledi.
Blog gönderisine göre, mühendisin üretim erişim belirteçleri oluşturma ayrıcalıkları vardı, bu nedenle üçüncü taraf, müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veritabanları ve mağaza alt kümesinden verileri sızdırabildi.
CircleCI, raporunda çalışanı şiddetle savundu ve olayın herhangi bir kişinin eylemlerinden kaynaklanmadığını, çeşitli sistemlerin toplu bir şekilde arızalanmasından kaynaklandığını vurguladı.
Zuber, blog gönderisinde “Bir çalışanın dizüstü bilgisayarı bu karmaşık saldırıyla istismar edilirken, bir güvenlik olayı bir sistem arızasıdır” dedi. “Bir kuruluş olarak sorumluluğumuz, tüm saldırı vektörlerine karşı koruma sağlayan koruma katmanları oluşturmaktır.”
Tehdit aktörü, 19 Aralık’ta keşif faaliyetinde bulundu ve 22 Aralık’ta hırsızlık gerçekleşti.
“Zuber, dışarı sızan tüm verilerin beklemedeyken şifrelenmiş olmasına rağmen, üçüncü taraf çalışan bir süreçten şifreleme anahtarlarını çıkardı ve potansiyel olarak şifrelenmiş verilere erişmelerini sağladı” dedi.
29 Aralık’ta şirket, şüpheli GitHub OAuth etkinliği konusunda uyarıldı ve 30 Aralık’ta müşterilerinden birine ait bir Github OAuth jetonunun yetkisiz bir tarafça ele geçirildiğini fark etti.
Müşteri sorunu çözdü, ancak 31 Aralık’ta CircleCI, müşteriler adına tüm GitHub OAuth belirteçlerini döndürmeye karar verdi.
CircleCI, platformun müşterilerin çalışmaya devam etmesi için güvenli olduğunu düşündüğünü, ancak güvenliği artırmak için birkaç adım attığını söyledi.
Şirket, üretim ortamına erişimi sınırlı sayıda çalışanla sınırladı ve kimlik doğrulama gereksinimleri ekledi. CircleCI, dış aktör tarafından kullanılan belirli davranışları hedefleyen MDM ve antivirüs çözümlerini de ekledi.
Müşteriler, 16 Aralık’tan itibaren herhangi bir şüpheli davranış olup olmadığını kontrol etmelidir.