Bilgisayar korsanları, bir mühendise şirketin dahili sistemlerine erişim sağlayan 2FA destekli SSO oturum tanımlama bilgisini çalan kötü amaçlı yazılımın bulaşmasının ardından Aralık ayında CircleCi’yi ihlal etti.
CircleCi, bu ayın başlarında bir güvenlik olayı yaşadıklarını açıkladı ve müşterilerini jetonlarını ve sırlarını döndürmeleri konusunda uyardı.
Saldırıyla ilgili yeni bir güvenlik olayı raporunda CircleCi, sistemlerine yetkisiz erişimi ilk kez bir müşterinin GitHub OAuth jetonunun güvenliğinin ihlal edildiğini bildirmesinden sonra öğrendiklerini söylüyor.
Bu uzlaşma, CircleCi’nin müşterileri için GitHub OAuth belirteçlerini otomatik olarak döndürmesine yol açtı.
4 Ocak’ta yapılan bir dahili soruşturma, 16 Aralık’ta bir mühendise şirketin antivirüs yazılımının tespit edemediği, bilgi çalan kötü amaçlı yazılım bulaştığı sonucuna vardı.
Bu kötü amaçlı yazılım, 2FA aracılığıyla zaten kimliği doğrulanmış bir kurumsal oturum tanımlama bilgisini çalarak, tehdit eden kişinin 2FA aracılığıyla yeniden kimlik doğrulaması yapmak zorunda kalmadan kullanıcı olarak oturum açmasına olanak tanıdı.
CircleCi’nin yeni olay raporu, “Araştırmamız, kötü amaçlı yazılımın uzak bir konumda hedeflenen çalışanın kimliğine bürünmesine ve ardından üretim sistemlerimizin bir alt kümesine erişimi artırmasına olanak tanıyarak oturum çerezi hırsızlığı gerçekleştirebildiğini gösteriyor.”
CircleCi, mühendisin ayrıcalıklarını kullanarak, bilgisayar korsanının 22 Aralık’ta müşterinin ortam değişkenleri, belirteçleri ve anahtarları dahil olmak üzere şirketin bazı veritabanlarından ve mağazalarından veri çalmaya başladığını söylüyor.
CircleCi bekleyen verileri şifrelerken, bilgisayar korsanı ayrıca şifreleme anahtarlarını çalışan işlemlerden atarak çaldı ve potansiyel olarak tehdit aktörünün şifrelenmiş, çalınan verilerin şifresini çözmesine izin verdi.
Veri hırsızlığını öğrendikten sonra şirket, müşterileri olay hakkında e-posta yoluyla uyarmaya başladı ve 21 Aralık 2022 ile 4 Ocak 2023 arasında giriş yapmışlarsa tüm belirteçleri ve sırları döndürmeleri konusunda onları uyardı.
Saldırıya yanıt olarak CircleCi, Project API Simgeleri, Kişisel API Simgeleri ve GitHub OAuth belirteçleri dahil olmak üzere müşterileriyle ilişkili tüm belirteçleri döndürdüklerini söylüyor. Şirket ayrıca müşterileri güvenliği ihlal edilmiş Bitbucket belirteçleri ve AWS belirteçleri hakkında bilgilendirmek için Atlassian ve AWS ile birlikte çalıştı.
CircleCi, altyapılarını daha da güçlendirmek için bilgi çalan kötü amaçlı yazılımın antivirüs ve mobil cihaz yönetimi (MDM) sistemlerine sergilediği davranışlar için daha fazla tespit eklediklerini söylüyor.
Şirket ayrıca üretim ortamlarına erişimi daha küçük bir insan alt kümesiyle sınırladı ve 2FA uygulamasının güvenliğini artırdı.
MFA saldırı altında
CircleCi’nin olay raporu, çok faktörlü kimlik doğrulamanın tehdit aktörleri tarafından artan şekilde hedef alınmasının bir başka örneğidir.
Bilgi çalan kötü amaçlı yazılımlar veya kimlik avı saldırıları yoluyla olsun, tehdit aktörleri genellikle kurumsal kimlik bilgilerini arar.
Bu nedenle kuruluş, bu kimlik bilgileri çalınsa bile kurumsal sistemlere erişimi engellemek için MFA’yı giderek daha fazla benimsiyor.
Ancak bu artan benimsemeyle birlikte tehdit aktörleri, MFA’ya karşı halihazırda kimliği doğrulanmış oturum çerezlerini çalmak veya MFA Yorgunluk saldırılarını kullanmak gibi MFA’yı atlatmak için taktikler geliştiriyor.
Bu saldırıların, Microsoft, Cisco, Uber ve şimdi de CircleCi’ye yönelik son siber saldırılar da dahil olmak üzere büyük kurumsal ağları ihlal etmede çok başarılı olduğu kanıtlanmıştır.
MFA’yı kullanmak hala çok önemli olsa da, yeni bir konumda bir oturum tanımlama bilgisinin kullanıldığını algılamak ve ardından daha fazla MFA doğrulaması talep etmek için bu platformları uygun şekilde yapılandırmak da aynı derecede önemlidir.
Ayrıca Microsoft ve Duo, çalıntı kimlik bilgileri kullanılarak yapılan oturumlara karşı korunmaya yardımcı olmak için yöneticilere Verified Push in Duo olarak da bilinen MFA numarası eşleştirme gibi daha yeni özellikleri etkinleştirmelerini tavsiye ediyor.