Kimlik ve Erişim Yönetimi , Olay ve İhlal Müdahalesi , Güvenlik Operasyonları
Dikkat: Kötü Amaçlı Yazılım Antivirüsü Atladı; Saldırganlar Çalıntı Tek Oturum Açma Jetonlarını Yeniden Kullandı
Mathew J. Schwartz (euroinfosec) •
19 Ocak 2023
CircleCI’nin bir çalışanın dizüstü bilgisayarına kötü amaçlı yazılım bulaştıran ve iki faktörlü kimlik doğrulama savunmasını atlayan bir saldırının alıcı tarafında yer alma talihsizliği, sektör genelinde öğrenilen potansiyel derslerdir – en azından bir başkasının deneyiminden öğrenecek kadar akıllı olan herhangi bir şirket için.
Ayrıca bakınız: paneli | Şifreleme Yükseliyor! Kullanıcı Gizliliği ve Uyumluluğu ile Güvenliği Nasıl Dengeleyeceğinizi Öğrenin
CircleCI sulu bir hedeftir. Sürekli entegrasyon ve sürekli teslimat platformu, Airbnb, Google, Meta, Okta ve Salesforce gibi kuruluşlardakiler de dahil olmak üzere 1 milyondan fazla geliştirici tarafından kullanılmaktadır.
Olay, saldırganların teknik hile veya sosyal mühendislik yoluyla iki faktörlü kimlik doğrulama savunmalarını atladıkları bir başka vaka olarak dikkate değerdir (bkz:: Cisco Saldırıya Uğradı: Firma, İlk Erişim Aracısına İzinsiz Girişi İzliyor).
Sonuç olarak, saldırının ayrıntıları, saldırganların araçları ve taktikleri hakkında ortaya çıkardıkları şeyler ve kendi evinizin düzenli olmasını sağlamak için bir üvendire olarak incelenmeye değer.
CTO Rob Zuber yayınlanan en son ihlal güncellemesinde, CircleCI mühendisinin dizüstü bilgisayarına bulaşmak için kullanılan kötü amaçlı yazılımın şirketin uç nokta güvenlik araçları tarafından tespit edilmediğini ve daha sonra “geçerli, 2FA destekli” tek oturum açma oturum çerezini çalmak için kullanıldığını yazdı. Cuma. Bu belirteç, saldırganın “uzak bir konumda hedeflenen çalışanın kimliğine bürünmesine ve ardından erişimi üretim sistemlerimizin bir alt kümesine yükseltmesine” olanak sağladı.
Zuber, çalınan müşteri verileri şifrelenmiş biçimde saklanırken, saldırganın “çalışan bir süreçten şifreleme anahtarlarını çıkardığını ve potansiyel olarak şifrelenmiş verilere erişmelerini sağladığını” söylüyor.
İhlalin bir sonucu olarak, “Tüm müşterilerin OAuth belirteçleri, Proje API Belirteçleri, SSH anahtarları ve daha fazlası dahil olmak üzere sırlarını döndürmelerini tavsiye ettik” diyor. Ayrıca müşterilerin 16 Aralık 2022’den 4 Ocak’a kadar sistemlerinde herhangi bir şüpheli etkinlik aramasını tavsiye ediyor. ” o ekler.
CircleCI, müşterilerin proje API’lerini ve kişisel API belirteçlerini 4 Ocak’ta döndürmeye başladığını söylüyor. Aynı gün, belirteçlerini döndürmek için GitHub OAuth, AWS ve Atlassian’ın Bitbucket Git tabanlı kaynak kodu deposu barındırma hizmeti için talepler yayınladı.
Şirket, kaç müşterinin etkilenmiş olabileceğini bilmiyor. Zuber, “Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğu için, yetkisiz üçüncü taraf, müşteri ortam değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veritabanları ve mağaza alt kümesindeki verilere erişebildi ve bunları sızdırabildi.” müşterilere söyler. “Sırlarınızın bu üçüncü şahıs sistemlerine yetkisiz erişim için kullanılıp kullanılmadığını bilmemizin hiçbir yolu yok.”
Ancak geçen hafta itibariyle, en fazla dört müşterinin “bu olayın bir sonucu olarak üçüncü taraf sistemlerine yetkisiz erişim” bildirdiğini söyledi.
19 Günlük İhlal Zaman Çizelgesi
Saldırganların dışarı sızan verilere erişim elde etmekten ne kadar hızlı hareket ettiğini gösteren, CircleCI tarafından şimdiye kadar yeniden oluşturulan olayın zaman çizelgesi aşağıdadır:
- 16 Aralık 2022: Saldırgan, çalışanın dizüstü bilgisayarına kötü amaçlı yazılım bulaştırır ve oturum çerezini çalar ve kullanır.
- 19 Aralık: Saldırgan keşif yapar.
- 22 Aralık: Saldırgan, şifrelenmiş verileri ve verilerin şifresini çözmek için gereken şifreleme anahtarlarını sızdırır.
- 29 Aralık: CircleCI, müşteri şüpheli davranış konusunda uyardıktan sonra güvenlik soruşturması başlatır.
- 30 Aralık: CircleCI, “bu müşterinin GitHub OAuth belirtecinin yetkisiz bir üçüncü tarafça ele geçirildiğini” öğrenir.
- 31 Aralık: CircleCI, “müşterilerimiz adına tüm GitHub OAuth belirteçlerini döndürme sürecini” “proaktif olarak” başlatır.
- 4 Ocak 2023: CircleCI’nin soruşturması, “yetkisiz üçüncü tarafın izinsiz girişinin kapsamını ve saldırının giriş yolunu” tanımlar, sistemleri kilitler, güvenliği ihlal edilmiş çalışanların hesaplarına tüm erişimi engeller, saldırgan erişiminin ortadan kaldırıldığını onaylar, müşterileri uyarmaya başlar ve genel ihlal bildirimi yayınlar.
- 13 Ocak: Şirket, soruşturmadan elde edilen güncellenmiş sonuçların yanı sıra saldırgan tarafından kullanılan IP adresleri, veri merkezleri ve VPN sağlayıcıları ve kötü amaçlı dosyalar dahil olmak üzere taktikler, teknikler ve prosedürlerin ayrıntılarını yayınlar.
Dersler öğrenildi
Bu saldırının ayrıntılarıyla ilgili birkaç önemli ayrıntı öne çıkıyor:
- Zamanlama: Saldırganlar yoğun tatil dönemine girerken saldırdı.
- Keşif: Şirket, bir sisteme kötü amaçlı yazılım bulaştığında veya üç günlük keşif sırasında saldırıyı tespit etme fırsatını kaçırdı.
- Bildirim: CircleCI, ideal olmasa da alışılmadık bir durum olan ihlali harici bir kaynaktan öğrendi.
- şifreleme: Saldırganlar, bekleyen verileri korumak için şifreleme kullanımını atlamış olabilir ki bu ciddi bir sorundur.
- Jetonlar: Çalıntı, geçerli bir SSO jetonunu yeniden kullanan bir saldırganı tespit etmek veya durdurmak için yeterli savunma yoktu.
CircleCI saldırıdan ne öğrendi? Şirket, iyileştirme de dahil olmak üzere bir dizi ayrı güvenlik iyileştirmesi yaptığını veya uygulayacağını söylüyor:
- uç nokta güvenliği: Artık antivirüs ve ayrıca mobil geliştirme yönetimi araçlarında kötü amaçlı yazılımların yanı sıra bu tür kötü amaçlı yazılımların sergilediği davranışlar için algılama mevcuttur.
- Erişim: Şirket, daha iyi savunmalar alırken “üretim ortamlarına erişimi çok sınırlı sayıda çalışanla sınırladı”.
- Yükseltme kontrolleri: Üretim ortamı erişimine ihtiyaç duyan herkes için, “ek aşamalı kimlik doğrulama adımları ve kontrolleri”, saldırganların çalınan oturum belirteçlerini kullanma becerisini engellemelidir.
- İzleme: “Çeşitli üçüncü taraf satıcılara” bağlı davranışlar da dahil olmak üzere “bu senaryoda belirlediğimiz belirli davranış kalıpları için” yeni izleme ve uyarı tetikleyicileri mevcuttur.
- Yorumlar: Şirket, güvenlik kontrollerini daha düzenli olarak gözden geçiriyor – ve daha fazla ayrıntıya girmese de, bunun daha iyi penetrasyon testi ve red-team tatbikatları gerektirdiğini umuyoruz.
CircleCI, ihlal ve kesinti için müşterilerden özür diledi ve bunun neden olduğu işleri ekledi ve soruşturmasını yürütürken gösterdikleri sabır için teşekkür etti.
İdeal olarak, hiçbir şirket, özellikle müşteri veya tüketici verilerini tehlikeye atan bir ihlalin kurbanı olmaz. Ancak gerçek dünyada, suçlular tam tersi bir sonuç elde etmek için fazla mesai yapıyor. Öyleyse CircleCI’ye yalnızca nasıl saldırıya uğradığı ve nelerin risk altında olduğu hakkında bilgi paylaştığı için değil, aynı zamanda başkalarının kendilerini daha iyi korumalarına yardımcı olmak için eyleme geçirilebilir ayrıntıları paylaştığı için de teşekkür ederiz.