Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers comprometeram o laptop de um funcion√°rio da CircleCI para violar os sistemas da empresa

A CircleCI, uma plataforma DevOps, descobriu que um malware instalado no laptop de um engenheiro da CircleCI foi usado por terceiros não autorizados para roubar uma sessão SSO legítima apoiada por 2FA.

Em 16 de dezembro de 2022, este dispositivo foi comprometido. O programa antivírus da empresa não conseguiu detectar o malware.

‚ÄúNossa investiga√ß√£o indica que o malware foi capaz de executar o roubo de cookies de sess√£o, permitindo-lhes se passar pelo funcion√°rio visado em um local remoto e, em seguida, aumentar o acesso a um subconjunto de nossos sistemas de produ√ß√£o‚ÄĚ, de acordo com o Relat√≥rio de incidente do CircleCI.

Os relat√≥rios dizem que o terceiro n√£o autorizado teve acesso e foi capaz de exfiltrar dados de um subconjunto de bancos de dados e armazenamentos, incluindo vari√°veis ‚Äč‚Äčde ambiente do cliente, tokens e chaves, porque o funcion√°rio visado tinha autoridade para gerar tokens de acesso √† produ√ß√£o como parte do trabalho regular do funcion√°rio. obriga√ß√Ķes.

Em 19 de dezembro de 2022, suspeita-se que o autor da ameaça tenha realizado um reconhecimento, que foi seguido pela exfiltração de dados em 22 de dezembro de 2022.

Para potencialmente obter acesso aos dados criptografados, o terceiro extraiu as chaves de criptografia de um processo em execução.

Camadas adicionais de proteção são implementadas

A empresa afirmou que s√£o implementadas detec√ß√£o e bloqueio adicionais dos comportamentos espec√≠ficos exibidos pelo malware empregado neste ataque por meio de solu√ß√Ķes MDM e A/V. Eles restringiram o acesso aos ambientes de produ√ß√£o a um n√ļmero muito pequeno de funcion√°rios.

Al√©m disso, a empresa disse que implementou regras e procedimentos de autentica√ß√£o mais rigorosos para proteger contra potencial acesso n√£o autorizado √† produ√ß√£o. Foi implementado um sistema de monitoriza√ß√£o e alerta para os padr√Ķes comportamentais especificados.

N√≥s recomendamos:  Krafton lan√ßa novos eventos de Natal para Battlegrounds Mobile India

A mudan√ßa ocorreu pouco mais de uma semana depois que o CircleCI aconselhou seus usu√°rios a alternar todos os seus segredos. A empresa disse que isso foi necess√°rio como resultado de ‚Äúcomportamento suspeito do GitHub OAuth‚ÄĚ que foi relatado a eles por um de seus usu√°rios em 29 de dezembro de 2022.

A empresa disse que trabalhou com a Atlassian para alternar todos os tokens do Bitbucket, revogou os tokens de API do projeto e os tokens de API pessoais, informou os clientes sobre os tokens AWS potencialmente afetados e tomou a iniciativa proativamente de alternar todos os tokens OAuth do GitHub depois de saber que o token OAuth do cliente tinha foi comprometido.

Como posso determinar se os dados est√£o em risco?

‚ÄúRecomendamos que voc√™ investigue atividades suspeitas em seu sistema a partir de 16 de dezembro de 2022 e terminando na data em que concluiu sua rota√ß√£o de segredos ap√≥s nossa divulga√ß√£o em janeiro. 42023. Qualquer coisa inserida no sistema depois de janeiro 52023, pode ser considerado seguro‚ÄĚ, diz o relat√≥rio

Recomenda√ß√Ķes

  • Use tokens OIDC sempre que poss√≠vel para evitar o armazenamento de credenciais de longa dura√ß√£o no CircleCI.
  • Use intervalos de IP para restringir conex√Ķes de entrada apenas a endere√ßos IP conhecidos em seus sistemas.
  • Os contextos podem ser usados ‚Äč‚Äčpara agrupar segredos compartilhados, limitar o acesso a eles para determinados projetos e altern√°-los automaticamente.
  • Para acesso privilegiado e controles adicionais, opte por usar executores, que permitem conectar a plataforma CircleCI √† sua pr√≥pria computa√ß√£o e ambientes, incluindo restri√ß√Ķes de IP e gerenciamento de IAM.

Lista de verifica√ß√£o de seguran√ßa de rede ‚Äď Baixe o e-book gr√°tis