Yapı boru hattının güvenliği nasıl ihlal edildi?
Popüler DevOps platformu CircleCI, yakın zamanda meydana gelen bir güvenlik ihlalinden dahili bir mühendisin dizüstü bilgisayarına başarılı bir şekilde kötü amaçlı yazılım yerleştiren bir saldırıyı sorumlu tuttu.
4 Ocak’ta kabul edilen saldırı, CircleCI’yi kendi platformuna güvenen yazılım geliştiricilere sırları ve API belirteçlerini döndürmek için tavsiye vermeye sevk etti.
San Francisco merkezli şirket, ihlalle ilgili 13 Ocak Cuma günü yayınlanan otopsi raporunda, neyin yanlış gittiğine dair ayrıntılı bir açıklama sundu.
ARKA FON Devs, CircleCI güvenlik ihlali yaşadıktan sonra sırları döndürmeye çağırdı
CircleCI, müşterilerinden birinin “şüpheli GitHub OAuth etkinliği” bildirdiği ve CircleCI’nin güvenlik ekibi ile GitHub’ın dahil olduğu bir soruşturmaya yol açtığı 29 Aralık’ta bir şeylerin ters gittiğinin söylendiğini söyledi.
Sürekli entegrasyon ve sürekli teslimat (CI/CD) satıcısındaki güvenlik ekibi daha sonra “geçerli, 2FA destekli bir SSO’yu çalmak için bir CircleCI mühendisinin dizüstü bilgisayarına dağıtılan yetkisiz bir üçüncü taraf kötü amaçlı yazılımın kullanıldığını” keşfetti. [single sign-on] oturumu” 16 Aralık’ta veya civarında.
Kötü amaçlı yazılım, adı açıklanmayan saldırganların, sahte erişim belirteçleri kullanarak “CircleCI’nin üretim sistemlerinin bir alt kümesine” erişmek için hedeflenen çalışanın kimliğine bürünmeden önce oturum tanımlama bilgisi verilerini çalmasına olanak sağladı.
“Hedeflenen çalışan, çalışanın normal görevlerinin bir parçası olarak üretim erişim belirteçleri oluşturma ayrıcalıklarına sahip olduğundan, yetkisiz üçüncü taraf, müşteri ortamı değişkenleri, belirteçler ve anahtarlar dahil olmak üzere bir veri tabanı ve depo alt kümesindeki verilere erişebildi ve bunları sızdırabildi.” CircleCI’nin otopsi yazısı açıklıyor.
Kötü niyetli kişiler daha sonra 22 Aralık’ta veya ona yakın bir tarihte “çalışan bir süreçten şifreleme anahtarlarını çıkararak potansiyel olarak şifrelenmiş verilere erişmelerini sağladı”.
Olay yanıtı
Saldırıya yanıt olarak CircleCI, üretim ortamını temiz ana bilgisayarlarla yeniden oluşturmadan ve proje API belirteçlerini iptal etmeden önce geçici bir önlem olarak çalışanların üretim sistemlerine erişimini kısıtladı.
Müşterilerden sırlarını ve API belirteçlerini yenilemeleri ve değiştirmeleri istendiğinde, saldırıdan sonraki günlerde Bitbucket ve GitHub OAuth belirteçleri rotasyona tabi tutuldu. Ayrıca CircleCI, potansiyel olarak etkilenen AWS belirteçleri hakkında müşterileri bilgilendirmek için AWS ile birlikte çalıştı.
BUNU KONTROL ET Bize nasıl geliştireceğimizi söyleyerek potansiyel olarak yağma kazanın günlük yudum
Saldırının ardından CircleCI, platformunun güvenliğini sağlamlaştırmak ve müşterilerinin herhangi bir sırrı daha iyi güvence altına almasına yardımcı olmak için tasarlanmış bir dizi önlem sunmanın yanı sıra harici olay müdahale uzmanlarıyla birlikte çalıştı.
CircleCI’nin yazıları, diğer şirketlerdeki güvenlik savunucularına benzer saldırıları hem tespit etmede hem de engellemede yardımcı olacak veriler olan uzlaşma belirtilerinin (IOC’ler) yayınlanmasının yanı sıra saldırganlarının taktik ve tekniklerini ana hatlarıyla ortaya koymaya devam ediyor.
Güvenlik topluluğundaki bazı kişiler, CircleCI’yi en iyi uygulamayı takip etmede başarısız olmakla suçlasa da, özellikle bir üretim sistemlerine yeterli erişim kontrollerinin uygulanmamasıdiğerleri onun “şeffaf ve ayrıntılı olay açıklaması” ve infosec Twitter’dan otopsiye genel yanıt olumluydu.
KAÇIRMAYIN Serileştirilmiş web güvenliği özeti – Slack, Okta ihlalleri; gevşek ABD hükümet şifreleri raporu; ve dahası