DevOps 平台 CircleCI 透露,上个月,身份不明的威胁行为者入侵了一名员工的笔记本电脑,并利用恶意软件窃取了他们的双因素身份验证支持的凭据,从而破坏了公司的系统和数据。
复杂的攻击发生在 2022 年 12 月中旬,恶意软件未被其防病毒软件检测到,导致 CircleCI 工程师的笔记本电脑受到恶意软件攻击。
该恶意软件能够执行会话 cookie 窃取,使他们能够在远程位置模拟目标员工,然后升级对我们生产系统子集的访问。
对安全漏洞的分析表明,未经授权的第三方从其数据库的一个子集中窃取了数据,并滥用了授予目标员工的提升权限。这包括客户环境变量、令牌和密钥。
据信,该威胁行为者于 2022 年 12 月 19 日进行了侦察活动,随后于 2022 年 12 月 22 日执行了数据泄露步骤。
一周后,CircleCI 敦促其客户轮换所有机密,事态发展才略有结束。
所有泄露的数据都是静态加密的,第三方从正在运行的进程中提取加密密钥,使他们能够访问加密数据。
在得知客户的 OAuth 令牌遭到破坏后,它主动采取了轮换所有 GitHub OAuth 令牌的步骤。它与 Atlassian 合作轮换了所有 Bitbucket 令牌。它撤销了项目 API 令牌和个人 API 令牌,并通知客户可能受影响的 AWS 令牌。
它还限制了对生产环境的访问。它包含了更多的身份验证护栏,以防止非法访问,即使凭据被盗也是如此。
此外,它计划为所有客户启动定期自动 OAuth 令牌轮换,以阻止未来的此类攻击,同时为用户引入选项以“采用最新和最先进的可用安全功能。