Bir DevOps platformu olan CircleCI, bir CircleCI mühendisinin dizüstü bilgisayarına yüklenen kötü amaçlı yazılımın yetkisiz bir üçüncü tarafça meşru, 2FA destekli bir SSO oturumunu çalmak için kullanıldığını keşfetti.
16 Aralık 2022’de bu cihazın güvenliği ihlal edildi. Şirketin antivirüs programı kötü amaçlı yazılımı tespit edemedi.
CircleCI olay raporuna göre, “Araştırmamız, kötü amaçlı yazılımın uzak bir konumda hedeflenen çalışanın kimliğine bürünmesine ve ardından üretim sistemlerimizin bir alt kümesine erişimi artırmasına olanak tanıyarak oturum çerezi hırsızlığı gerçekleştirebildiğini gösteriyor”.
Raporlar, hedeflenen çalışanın çalışanın normal işleyişinin bir parçası olarak üretim erişim belirteçleri oluşturma yetkisine sahip olması nedeniyle, yetkisiz üçüncü tarafın müşteri ortam değişkenleri, belirteçler ve anahtarlar dahil olmak üzere veritabanlarının ve depoların bir alt kümesine erişebildiğini ve bu alt kümelerden verilere sızabildiğini söylüyor. görevler.
19 Aralık 2022’de tehdit aktörünün keşif gerçekleştirdiği ve ardından 22 Aralık 2022’de veri sızdırdığından şüpheleniliyor.
Üçüncü taraf, potansiyel olarak şifrelenmiş verilere erişim elde etmek için çalışan bir işlemden şifreleme anahtarlarını çıkardı.
Ek Koruma Katmanları Uygulandı
Şirket, bu saldırıda kullanılan kötü amaçlı yazılımın sergilediği belirli davranışların MDM ve A/V çözümleri aracılığıyla ek olarak tespit edildiğini ve engellendiğini belirtti. Üretim ortamlarına erişimi çok az sayıda çalışanla sınırladılar.
Ayrıca şirket, potansiyel yetkisiz üretim erişimine karşı koruma sağlamak için daha sıkı kimlik doğrulama kuralları ve prosedürleri uyguladığını söyledi. Belirlenen davranış kalıpları için izleme ve uyarı sistemi devreye alınmıştır.
Değişiklik, CircleCI kullanıcılarına tüm sırlarını döndürmelerini tavsiye ettikten bir haftadan biraz daha uzun bir süre sonra gerçekleşti. Şirket, 29 Aralık 2022’de kullanıcılarından birinin kendisine bildirdiği “şüpheli GitHub OAuth davranışı” sonucunda bunun gerekli olduğunu söyledi.
Şirket, tüm Bitbucket belirteçlerini döndürmek, Proje API Belirteçlerini ve Kişisel API Belirteçlerini iptal etmek için Atlassian ile çalıştığını, potansiyel olarak etkilenen AWS belirteçleri hakkında müşterileri bilgilendirdiğini ve müşterinin OAuth belirtecinin olduğunu öğrendikten sonra proaktif olarak tüm GitHub OAuth belirteçlerini döndürme adımını attığını söyledi. tehlikeye atıldı.
Verilerin Risk Altında Olup Olmadığını Nasıl Belirleyebilirim?
“16 Aralık 2022’den başlayarak, 4 Ocak 2023’teki açıklamamızdan sonra sır rotasyonunuzu tamamladığınız tarihe kadar sisteminizde şüpheli etkinlik olup olmadığını araştırmanızı öneririz. 5 Ocak 2023’ten sonra sisteme girilen her şey, güvenli kabul edildi” diyor rapor
öneriler
- CircleCI’de uzun ömürlü kimlik bilgilerinin saklanmasını önlemek için mümkün olan her yerde OIDC belirteçlerini kullanın.
- Sistemleriniz için yalnızca bilinen IP adresleriyle gelen bağlantıları kısıtlamak için IP aralıklarını kullanın.
- Bağlamlar, paylaşılan sırları gruplandırmak, bunlara erişimi belirli projelerle sınırlamak ve bunları otomatik olarak döngüye sokmak için kullanılabilir.
- Ayrıcalıklı erişim ve ek kontroller için, CircleCI platformunu IP kısıtlamaları ve IAM yönetimi dahil olmak üzere kendi bilgi işlem ve ortamlarınıza bağlamanıza izin veren çalıştırıcıları kullanmayı seçin.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin