Ngày 14 tháng 1 năm 2023Ravie LakshmananDevOps / Bảo mật dữ liệu
Nền tảng DevOps CircleCI vào thứ Sáu đã tiết lộ rằng các tác nhân đe dọa không xác định đã xâm phạm máy tính xách tay của nhân viên và tận dụng phần mềm độc hại để đánh cắp thông tin xác thực được hỗ trợ bởi xác thực hai yếu tố của họ nhằm vi phạm hệ thống và dữ liệu của công ty vào tháng trước.
Dịch vụ CI/CD CircleCI cho biết “cuộc tấn công tinh vi” đã diễn ra vào ngày 16 tháng 12 năm 2022 và phần mềm chống vi-rút của phần mềm độc hại này đã không bị phát hiện.
Rob Zuber, giám đốc công nghệ của CircleCI, cho biết: “Phần mềm độc hại có thể thực hiện hành vi đánh cắp cookie phiên, cho phép chúng mạo danh nhân viên được nhắm mục tiêu ở một địa điểm từ xa và sau đó tăng cường quyền truy cập vào một tập hợp con hệ thống sản xuất của chúng tôi”.
Phân tích sâu hơn về lỗ hổng bảo mật cho thấy rằng bên thứ ba trái phép đã ăn cắp dữ liệu từ một tập hợp con cơ sở dữ liệu của mình bằng cách lạm dụng các quyền nâng cao được cấp cho nhân viên được nhắm mục tiêu. Điều này bao gồm các biến môi trường khách hàng, mã thông báo và khóa.
Tác nhân đe dọa được cho là đã tham gia vào hoạt động do thám vào ngày 19 tháng 12 năm 2022, sau đó thực hiện bước đánh cắp dữ liệu vào ngày 22 tháng 12 năm 2022.
Zuber cho biết: “Mặc dù tất cả dữ liệu bị lọc đã được mã hóa ở trạng thái nghỉ ngơi, nhưng bên thứ ba đã trích xuất các khóa mã hóa từ một quy trình đang chạy, cho phép họ có khả năng truy cập vào dữ liệu được mã hóa”.
Sự phát triển diễn ra hơn một tuần sau khi CircleCI kêu gọi khách hàng của mình xoay chuyển tất cả các bí mật của họ, điều mà họ cho là cần thiết sau khi được một trong những khách hàng của họ cảnh báo về “hoạt động OAuth đáng ngờ trên GitHub” vào ngày 29 tháng 12 năm 2022.
Khi biết rằng mã thông báo OAuth của khách hàng đã bị xâm phạm, công ty đã chủ động thực hiện bước xoay vòng tất cả mã thông báo GitHub OAuth, công ty cho biết thêm rằng họ đã làm việc với Atlassian để xoay vòng tất cả mã thông báo Bitbucket, thu hồi Mã thông báo API dự án và Mã thông báo API cá nhân và thông báo cho khách hàng của các mã thông báo AWS có khả năng bị ảnh hưởng.
Bên cạnh việc hạn chế quyền truy cập vào môi trường sản xuất, CircleCI cho biết họ đã kết hợp nhiều biện pháp bảo vệ xác thực hơn để ngăn chặn truy cập bất hợp pháp ngay cả khi thông tin đăng nhập bị đánh cắp.
Nó còn có kế hoạch bắt đầu luân chuyển mã thông báo OAuth tự động định kỳ cho tất cả khách hàng để ngăn chặn các cuộc tấn công như vậy trong tương lai, bên cạnh việc giới thiệu các tùy chọn để người dùng “áp dụng các tính năng bảo mật tiên tiến và mới nhất hiện có”.
