0
0
Os invasores que conseguiram a recente violação da CircleCI, fabricante da plataforma de integração contínua e entrega contínua (CI/CD), comprometeram o laptop de um engenheiro com malware, roubaram seu cookie de sessão SSO com suporte de 2FA e o usaram para representar o funcionário em uma lugar remoto.
“Como o funcionário visado tinha privilégios para gerar tokens de acesso de produção como parte das funções regulares do funcionário, o terceiro não autorizado conseguiu acessar e extrair dados de um subconjunto de bancos de dados e armazenamentos, incluindo variáveis de ambiente do cliente, tokens e chaves”, O CTO da CircleCI, Ron Zuber, explicou.
“Embora todos os dados exfiltrados tenham sido criptografados em repouso, o terceiro extraiu as chaves de criptografia de um processo em execução, permitindo que eles acessassem potencialmente os dados criptografados”.
A linha do tempo da violação do CircleCI
No início deste mês, quando a empresa revelou que havia sido violada, pediu aos clientes que “alternassem quaisquer segredos armazenados no CircleCI”.
Nos dias seguintes, a empresa continuou a tomar medidas para minimizar os danos que os clientes poderiam sofrer devido a essa violação, mas confirmou na sexta-feira que menos de 5 clientes os informaram sobre acesso não autorizado a sistemas de terceiros como resultado desse incidente.
Os atacantes tiveram muito tempo para causar dano. Segundo Zuber:
- O laptop do engenheiro foi comprometido em 16 de dezembro de 2022
- O acesso não autorizado de terceiros aos sistemas CircleCI ocorreu em 19 de dezembro
- Exfiltração de dados ocorreu em 22 de dezembro
O malware no laptop do engenheiro não foi detectado pelo software antivírus da empresa, e a representação do funcionário pelos invasores também passou despercebida.
Foi apenas em 29 de dezembro, quando foram alertados sobre a atividade suspeita do GitHub OAuth por um de seus clientes, que começaram a investigar e desenterrar evidências de comprometimento.
Mitigação e remediação
Na semana seguinte, eles fecharam todo o acesso do funcionário cuja conta foi comprometida e fecharam o acesso de produção para a maior parte do restante e, em seguida, procederam a:
- Girar hosts de produção potencialmente expostos
- Revogar API de projeto e tokens de API pessoais
- Girar tokens GitHub OAuth
- Trabalhe com a Atlassian para alternar todos os tokens Bitbucket em nome dos clientes
- Trabalhe com a AWS para notificar os clientes de que seus tokens da AWS podem ter sido comprometidosEles agora também compartilharam indicadores de compromisso para ajudar os clientes em suas próprias investigações. “Recomendamos que você investigue atividades suspeitas em seu sistema a partir de 16 de dezembro de 2022 e termine na data em que concluiu sua rotação de segredos após nossa divulgação em 4 de janeiro de 2023. Qualquer coisa inserida no sistema após 5 de janeiro de 2023 pode ser considerada segura. ”, observou Zuber.Ele também expôs as camadas defensivas adicionais que eles colocaram para evitar futuros ataques desse tipo. “Queremos ser claros. Embora o laptop de um funcionário tenha sido explorado por meio desse ataque sofisticado, um incidente de segurança é uma falha de sistema. Nossa responsabilidade como organização é construir camadas de proteção contra todos os vetores de ataque”, concluiu.
FONTE: HELPNET SECURITY