DevOps プラットフォームである CircleCI は先月、正体不明の攻撃者が従業員のラップトップを侵害し、マルウェアを利用して 2 要素認証に基づく資格情報を盗み、会社のシステムとデータを侵害したことを明らかにしました。
巧妙な攻撃は 2022 年 12 月中旬に発生し、マルウェアがウイルス対策ソフトウェアによって検出されなかったため、CircleCI のエンジニアのラップトップに対するマルウェア攻撃につながりました。
このマルウェアはセッション Cookie の盗難を実行し、リモートの場所で標的の従業員になりすまして、本番システムのサブセットへのアクセスをエスカレートすることができました。
セキュリティの過失を分析した結果、不正なサードパーティがデータベースのサブセットからデータを盗み出し、対象の従業員に付与された昇格された権限を悪用したことが明らかになりました。これには、顧客の環境変数、トークン、およびキーが含まれます。
脅威アクターは、2022 年 12 月 19 日に偵察活動に関与したと考えられており、2022 年 12 月 22 日にデータの流出ステップを実行することで、それに続いています。
この開発は、CircleCI が顧客にすべてのシークレットをローテーションするように促した週の少し後に行われました。
盗み出されたすべてのデータは保存時に暗号化されており、サードパーティは実行中のプロセスから暗号化キーを抽出したため、暗号化されたデータにアクセスできる可能性がありました。
顧客の OAuth トークンが侵害されたことを知り、積極的にすべての GitHub OAuth トークンをローテーションする手順を実行しました。アトラシアンと協力して、すべての Bitbucket トークンをローテーションしました。プロジェクト API トークンとパーソナル API トークンを取り消し、影響を受ける可能性のある AWS トークンを顧客に通知しました。
また、本番環境へのアクセスを制限します。資格情報が盗まれた場合でも、不正なアクセスを防ぐために、より多くの認証ガードレールが組み込まれています。
さらに、ユーザーが利用可能な最新かつ最も高度なセキュリティ機能を採用するためのオプションを導入することに加えて、すべての顧客が将来そのような攻撃を阻止するために、定期的な自動 OAuth トークン ローテーションを開始する予定です。