CircleCI, sürekli entegrasyon ve sürekli teslimat (CI/CD) platformunu etkileyen güvenlik olayını araştırmaya devam ederken, kurumsal savunucular da CircleCI ile entegre üçüncü taraf uygulamalarında kötü niyetli faaliyetlerin izlerini arıyor olmalıdır.
CircleCI, 4 Ocak’ta yaptığı açıklamada, tüm kullanıcıları platformda depolanan tüm sırları döndürmeye ve 21 Aralık 2022’den itibaren “yetkisiz erişim” belirtileri için dahili günlükleri kontrol etmeye çağırdı. uygulamalar ve diğer bulut sağlayıcıları, savunucular ayrıca bu ortamlarda da kötü niyetli davranış belirtileri aramalıdır.
1. Adım: Sırları Değiştirin
.İlk adım, tüm şifreleri, sırları, erişim belirteçlerini, ortam değişkenlerini ve genel-özel anahtar çiftlerini değiştirmektir çünkü saldırganlar bunları çalmış olabilir. Kuruluşlar, CircleCI’yi diğer hizmet olarak yazılım ve bulut sağlayıcılarıyla entegre ettiklerinde, CircleCI’ye bu kimlik doğrulama belirteçlerini ve sırlarını sağlarlar. CircleCI ile yapılan ihlal, platformun kendisinin tehlikeye atıldığı ve tüm Hizmet Olarak Sunulan Yazılım platformlarının ve bulut sağlayıcılarının CircleCI ile entegre olduğu, çünkü bu kimlik bilgilerinin artık ifşa olduğu anlamına gelir.
CircleCI, değiştirilmesi gereken CI sırlarının adlarının JSON biçimli bir listesini dışa aktarmak için bir CircleCI-Env-Inspector komut dosyası sunuyor. CircleCI, listenin sırların değerlerini içermeyeceğini söyledi.
Bu betiği çalıştırmak için depoyu klonlayın ve run.sh dosya.
Sonraki güncellemelerde CircleCI, projeler tarafından kullanılan Project API belirteçlerini geçersiz kıldığını ve müşteriler adına tüm GitHub OAuth belirteçlerini döndürdüğünü söyledi. Amazon Web Services, müşterileri potansiyel olarak etkilenmiş belirteçlerin listeleriyle e-posta yoluyla uyarıyor (konu satırı: [Action Required] Erişim Anahtarlarını Döndürmek için CircleCI Güvenlik Uyarısı.) müşterilerin değişmesi gerektiğini.
2. Adım: CircleCI’yi Şüpheli Etkinlik için Kontrol Edin
CircleCI, self servis denetim günlüklerini, ücretsiz müşteriler de dahil olmak üzere tüm müşteriler için platformun kullanıcı arabirimi aracılığıyla kullanılabilir hale getirdi. Müşteriler 30 güne kadar veri sorgulayabilir ve sonuç günlüklerini indirmek için 30 günleri vardır.
3. Adım: Üçüncü Taraf Uygulamalarda Kötü Amaçlı Aktörleri Avlayın
İhlalin etkisi, Github, Amazon Web Services, Google Cloud Platform ve Microsoft Azure gibi geliştirme platformuyla entegre üçüncü taraf uygulamaları içerdiğinden CircleCI’nin ötesine geçiyor.
Örneğin: CircleCI, GitHub’da PAT, bir SSH anahtarı veya yerel olarak oluşturulmuş özel ve genel anahtarlar aracılığıyla kimlik doğrulaması yapar. Araştırmacılar blogda, kuruluşların CircleCI kullanıcılarından kaynaklanan git.clone (depoyu kopyalama), git.fetch, git.pull (depodan kodun bir kopyasını indirme) gibi şüpheli GitHub etkinliklerini araması gerektiğini söyledi. İleti. Yapılması gereken bir diğer şey de “actor_location” içeren GitHub Denetim günlüklerini kontrol etmek ve yeni IP adreslerinden kaynaklanan anormal bağlantıları ve işlemleri aramaktır.