A DevOps CircleCI platform nyilvánosságra hozta, hogy a múlt hónapban azonosítatlan fenyegetés szereplők kompromittálták egy alkalmazott laptopját, és rosszindulatú programokat használtak fel, hogy ellopják kétfaktoros hitelesítéssel támogatott hitelesítő adataikat, és ezzel megsértsék a vállalat rendszereit és adatait.
A kifinomult támadásra 2022. december közepén került sor, és az, hogy a rosszindulatú programot nem észlelte a víruskereső szoftvere, a CircleCI mérnökének laptopja elleni rosszindulatú programtámadáshoz vezetett.
A rosszindulatú program munkamenet-cookie-lopást tudott végrehajtani, amely lehetővé tette számukra, hogy egy távoli helyen a megcélzott alkalmazottnak adja ki magát, majd növelje a hozzáférést termelési rendszereink egy részéhez.
A biztonsági kimaradás elemzése során kiderült, hogy a jogosulatlan harmadik fél az adatbázisainak egy részhalmazából lopta el az adatokat, és visszaélt a megcélzott munkavállalónak adott emelt szintű jogosultságokkal. Ez magában foglalja az ügyfélkörnyezeti változókat, tokeneket és kulcsokat.
A fenyegetőző 2022. december 19-én felderítő tevékenységet folytatott, majd 2022. december 22-én végrehajtotta az adatszivárgást.
A fejlesztés egy kicsit a hét után következik be. A CircleCI arra buzdította ügyfeleit, hogy forgassák el minden titkukat.
Az összes kiszűrt adatot nyugalmi állapotban titkosították, a harmadik fél pedig egy futó folyamatból kinyerte a titkosítási kulcsokat, amelyek lehetővé teszik számukra, hogy potenciálisan hozzáférjenek a titkosított adatokhoz.
Amikor megtudta, hogy az ügyfél OAuth-jogkivonata kompromittálódott, és proaktívan megtette az összes GitHub OAuth-token elforgatását. Az Atlassiannal együttműködve forgatta az összes Bitbucket-tokent. Visszavonta a Project API-tokeneket és a személyes API-tokeneket, és értesítette az ügyfeleket a potenciálisan érintett AWS-tokenekről.
Ezenkívül korlátozza a termelési környezethez való hozzáférést. Több hitelesítési védőkorlátot is beépített, hogy megakadályozza az illegitim hozzáférést még akkor is, ha a hitelesítő adatokat ellopják.
Ezen túlmenően azt tervezi, hogy rendszeres időközönként automatikus OAuth-jogkivonat-rotációt kezdeményez minden ügyfél számára, hogy a jövőben megakadályozza az ilyen támadásokat, amellett, hogy lehetőséget ad a felhasználóknak a „legújabb és legfejlettebb biztonsági szolgáltatások elfogadására”.