流行的DevOps平台CircleCI将最近的安全漏洞归咎于成功在内部工程师的笔记本电脑上植入恶意软件的攻击。该攻击于1月4日得到确认,促使CircleCI建议依赖其平台的软件开发人员轮换秘密和API令牌。在1月13日发布的违规事后分析中,这家总部位于旧金山的公司详细描述了问题所在。
CircleCI表示,在12月29日,当其一位客户报告“可疑的GitHub OAuth活动”时,它首次得知出现问题,促使CircleCI的安全团队和GitHub展开调查。
持续集成和持续交付(CI/CD)供应商的安全团队随后发现,“未经授权的第三方利用部署到CircleCI工程师笔记本电脑上的恶意软件来窃取有效的、支持2FA的SSO[单点登录]会话”12月16日左右。
该恶意软件使未具名的攻击者能够在冒充目标员工之前窃取会话cookie数据,以便使用伪造的访问令牌访问“CircleCI生产系统的子集”。
“由于目标员工有权生成生产访问令牌作为员工日常职责的一部分,因此未经授权的第三方能够从数据库和商店的子集访问和泄露数据,包括客户环境变量、令牌和密钥,” CircleCI的报告解释道。
不法分子随后能够在12月22日左右“从正在运行的进程中提取加密密钥,使他们有可能访问加密数据”。
作为对攻击的响应,CircleCI在使用干净的主机重建其生产环境并撤销项目API令牌之前,限制员工访问其生产系统作为临时措施。
Bitbucket和GitHub OAuth令牌在攻击发生后的几天内轮换,因为客户被要求刷新和更改他们的秘密和API令牌。此外,CircleCI还与AWS合作,通知客户可能受影响的AWS代币。
攻击发生后,CircleCI与外部事件响应专家合作,同时推出了一套旨在加强其平台安全性并帮助其客户更好地保护任何秘密的措施。
CircleCI的文章继续勾勒出攻击者的策略和技术,同时发布了妥协迹象(IOC),这些数据将帮助其他公司的安全防御者识别和阻止类似攻击。
尽管安全社区中的一些人指责CircleCI未能遵循最佳实践,特别是未能对生产系统应用足够的访问控制,但其他人称赞其“透明和详细的事件披露”以及信息安全推特对事后分析的总体反应呈阳性。
评论已关闭。