A CircleCI, uma plataforma DevOps, descobriu que um malware instalado no laptop de um engenheiro da CircleCI foi usado por terceiros não autorizados para roubar uma sessão SSO legítima apoiada por 2FA.
Em 16 de dezembro de 2022, este dispositivo foi comprometido. O programa antivírus da empresa não conseguiu detectar o malware.
“Nossa investigação indica que o malware foi capaz de executar o roubo de cookies de sessão, permitindo-lhes se passar pelo funcionário visado em um local remoto e, em seguida, aumentar o acesso a um subconjunto de nossos sistemas de produção”, de acordo com o Relatório de incidente do CircleCI.
Os relatórios dizem que o terceiro não autorizado teve acesso e foi capaz de exfiltrar dados de um subconjunto de bancos de dados e armazenamentos, incluindo variáveis de ambiente do cliente, tokens e chaves, porque o funcionário visado tinha autoridade para gerar tokens de acesso à produção como parte do trabalho regular do funcionário. obrigações.
Em 19 de dezembro de 2022, suspeita-se que o autor da ameaça tenha realizado um reconhecimento, que foi seguido pela exfiltração de dados em 22 de dezembro de 2022.
Para potencialmente obter acesso aos dados criptografados, o terceiro extraiu as chaves de criptografia de um processo em execução.
Camadas adicionais de proteção são implementadas
A empresa afirmou que são implementadas detecção e bloqueio adicionais dos comportamentos específicos exibidos pelo malware empregado neste ataque por meio de soluções MDM e A/V. Eles restringiram o acesso aos ambientes de produção a um número muito pequeno de funcionários.
Além disso, a empresa disse que implementou regras e procedimentos de autenticação mais rigorosos para proteger contra potencial acesso não autorizado à produção. Foi implementado um sistema de monitorização e alerta para os padrões comportamentais especificados.
A mudança ocorreu pouco mais de uma semana depois que o CircleCI aconselhou seus usuários a alternar todos os seus segredos. A empresa disse que isso foi necessário como resultado de “comportamento suspeito do GitHub OAuth” que foi relatado a eles por um de seus usuários em 29 de dezembro de 2022.
A empresa disse que trabalhou com a Atlassian para alternar todos os tokens do Bitbucket, revogou os tokens de API do projeto e os tokens de API pessoais, informou os clientes sobre os tokens AWS potencialmente afetados e tomou a iniciativa proativamente de alternar todos os tokens OAuth do GitHub depois de saber que o token OAuth do cliente tinha foi comprometido.
Como posso determinar se os dados estão em risco?
“Recomendamos que você investigue atividades suspeitas em seu sistema a partir de 16 de dezembro de 2022 e terminando na data em que concluiu sua rotação de segredos após nossa divulgação em janeiro. 42023. Qualquer coisa inserida no sistema depois de janeiro 52023, pode ser considerado seguro”, diz o relatório
Recomendações
- Use tokens OIDC sempre que possível para evitar o armazenamento de credenciais de longa duração no CircleCI.
- Use intervalos de IP para restringir conexões de entrada apenas a endereços IP conhecidos em seus sistemas.
- Os contextos podem ser usados para agrupar segredos compartilhados, limitar o acesso a eles para determinados projetos e alterná-los automaticamente.
- Para acesso privilegiado e controles adicionais, opte por usar executores, que permitem conectar a plataforma CircleCI à sua própria computação e ambientes, incluindo restrições de IP e gerenciamento de IAM.
Lista de verificação de segurança de rede – Baixe o e-book grátis
