Bulut güvenlik firması Datadog, RPM GPG imzalama anahtarlarından birinin ve parolasının yakın tarihli bir CircleCI güvenlik ihlali sırasında açığa çıktığını söylüyor.
Ancak şirket, bu anahtarın sızdırıldığına veya kötüye kullanıldığına dair henüz kanıt bulamadığını da sözlerine ekledi.
Datadog, “16 Ocak 2023 itibariyle, Datadog’un anahtarın gerçekten sızdırıldığına veya kötüye kullanıldığına dair hiçbir belirtisi yok, ancak yine de büyük bir ihtiyat nedeniyle aşağıdaki eylemleri alıyoruz” dedi.
CircleCI’nin, tehdit aktörünün veritabanlarından müşterilerin ortam değişkenlerini, belirteçlerini ve anahtarlarını çaldığını açıklamasına yanıt olarak Datadog, CentOS/RHEL için Agent 5 RPM’nin yeni bir anahtarla imzalanmış yeni bir sürümünü yayınladı.
Şirket ayrıca, etkilenen anahtarı Datadog repo dosyasından ve RPM veritabanından kaldıran yeni bir Linux yükleme komut dosyası yayınladı.
Datadog depoları tehlikede değil
Datadog, saldırgan imzalama anahtarını çalmayı başarsa ve kötü amaçlı bir RPM paketi oluştursa bile, resmi paket havuzlarına da erişmeleri gerekeceğinden şirketin müşterilerini hedeflemek için bunu kullanamayacaklarını ekledi.
“Resmi Datadog depolarından taviz verilmedi. İmza anahtarı, gerçekten sızdırılmışsa, Datadog’dan gelmiş gibi görünen bir RPM paketi oluşturmak için kullanılabilir, ancak böyle bir paketi resmi paket depolarımıza yerleştirmek için yeterli olmaz.” dedim.
“Etkilenen anahtara sahip varsayımsal bir saldırganın, oluşturulan RPM paketini sistem tarafından kullanılan bir havuza yükleyebilmesi gerekir.”
Müşterilere, sistemlerinin etkilenen anahtara güvenmeyi bırakmasını sağlamaları ve hala güvenmiyorlarsa, anahtarı silmeleri ve yüklenenlerin hepsinin burada bulunan talimatları kullanarak Datadog tarafından oluşturulup oluşturulmadığını doğrulamaları önerilir.
Datadog bu bilgileri, şirketin web sitesinde diğer SSS’lerin yanında listelenmeyen bir “Sıkça Sorulan Sorular” olarak dokümantasyon sayfasında yayınladı.
Ek olarak, BleepingComputer bu sayfayı web’de bulamadı çünkü Datadog meta verilerine ‘noindex’ ve ‘nofollow’ etiketleri eklediğinden arama motorları onu dizine eklemiyor.
Bugün erken saatlerde BleepingComputer daha fazla ayrıntı için iletişime geçtiğinde, bir Datadog sözcüsü yorum yapmak için hemen müsait değildi.
Datadog’un açıklaması, CircleCI’nin Cuma günü sistemlerinin bir mühendisin kötü amaçlı yazılım bulaşmış dizüstü bilgisayarı aracılığıyla ihlal edildiğini açıklamasından sonra geldi.
CircleCI ilk olarak Ocak ayı başlarında bir güvenlik olayı yaşadığını açıkladı ve tüm müşterileri sırlarını ve jetonlarını döndürmeleri konusunda uyardı.
Geçen hafta yazılım şirketi, saldırganların, çalışanın güvenliği ihlal edilmiş cihazından 2FA destekli bir SSO oturum tanımlama bilgisini kullanarak dahili sistemlerine erişim sağladıktan sonra müşteri sırlarını da çaldığını söyledi.
Şirket, birden fazla müşterinin (“5’ten az”) zaten “üçüncü taraf sistemlere yetkisiz erişim” bulduğunu ekledi ve müşterileri 16 Aralık 2022’den itibaren şüpheli etkinlik için ortamlarını araştırmaları konusunda uyardı.