پلتفرم DevOps CircleCI فاش کرد که عوامل تهدید ناشناس لپتاپ کارمند را به خطر انداخته و از بدافزار استفاده میکنند تا اعتبار دو مرحلهای پشتیبان احراز هویت آنها را به سرقت ببرند تا سیستمها و دادههای شرکت را نقض کنند.
این حمله پیچیده در اواسط دسامبر 2022 رخ داد و عدم شناسایی بدافزار توسط نرم افزار آنتی ویروس آن منجر به حمله بدافزار به لپ تاپ مهندس CircleCI شد.
این بدافزار میتوانست دزدی کوکیهای جلسه را اجرا کند که آنها را قادر میسازد کارمند مورد نظر را در یک مکان راه دور جعل کنند و سپس دسترسی به زیر مجموعهای از سیستمهای تولیدی ما را افزایش دهند.
تجزیه و تحلیل نقص امنیتی نشان داد که شخص ثالث غیرمجاز دادههای زیرمجموعهای از پایگاههای داده خود را به سرقت برده و از مجوزهای بالاتر اعطا شده به کارمند مورد نظر سوء استفاده کرده است. این شامل متغیرهای محیطی مشتری، نشانهها و کلیدها میشود.
گمان میرود عامل تهدید در 19 دسامبر 2022 درگیر فعالیتهای شناسایی بوده و آن را با انجام مرحله استخراج داده در 22 دسامبر 2022 دنبال کرده است.
این توسعه کمی بعد از یک هفته انجام شد که CircleCI از مشتریان خود خواست تا تمام اسرار خود را بچرخانند.
تمام داده های استخراج شده در حالت استراحت رمزگذاری شدند و شخص ثالث کلیدهای رمزگذاری را از یک فرآیند در حال اجرا استخراج کردند که به آنها امکان دسترسی بالقوه به داده های رمزگذاری شده را می دهد.
پس از اطلاع از اینکه توکن OAuth مشتری به خطر افتاده است و به طور فعال قدمی را برای چرخاندن همه نشانههای GitHub OAuth برداشت. با Atlassian کار کرد تا همه توکنهای Bitbucket را بچرخاند. توکنهای Project API و Personal API Tokens را لغو کرد و مشتریان را از نشانههای AWS تحت تأثیر احتمالی مطلع کرد.
همچنین دسترسی به محیط تولید را محدود میکند. حفاظهای احراز هویت بیشتری را برای جلوگیری از دسترسی غیرقانونی حتی در صورت دزدیده شدن اعتبارنامهها گنجانده است.
علاوه بر این، این شرکت قصد دارد چرخش خودکار دورهای توکن OAuth را برای همه مشتریان آغاز کند تا در آینده از چنین حملاتی جلوگیری کند، علاوه بر این، گزینههایی را برای کاربران ارائه میکند تا «جدیدترین و پیشرفتهترین ویژگیهای امنیتی موجود را بپذیرند».