Hacker brechen in die Systeme von CircleCi über den infizierten 2FA-gestützten SSO eines Ingenieurs ein

CircleCi, eine beliebte CI/CD (Continuous Integration & Continuous Development) Plattform, die für DevOps-Praktiken verwendet wird, hat bekannt gegeben, dass sie von einem Sicherheitsvorfall betroffen war.

Im Dezember letzten Jahres wurde ein Ingenieur bei CircleCi mit Malware infiziert, die Informationen stiehlt, die die Hacker nutzten, um in ihr 2FA-gestütztes SSO-Sitzungscookie einzudringen, was den Angreifern den Zugriff auf die internen Systeme von CircleCi ermöglichte.

Ein Bericht, der von CircleCi, der CI/CD-Plattform veröffentlicht wurde, erwähnt, dass sie von dem Sicherheitsvorfall erfuhren, nachdem ein Kunde gemeldet hatte, dass sein GitHub OAuth-Code kompromittiert wurde. Dieser Vorfall führte dazu, dass das Unternehmen die GitHub-Auth-Codes seiner Kunden automatisch drehte!

Die information-stehlende Malware stahl das Unternehmens-Sitzungscookie, das bereits über die 2FA authentifiziert worden war, was den Angreifern ermöglichte, sich als Benutzer anzumelden, ohne es authentifizieren zu müssen.

Darüber hinaus war die Malware in der Lage, den Diebstahl von Sitzungscookies auszuführen, was es den Hackern ermöglichte, den Mitarbeiter, den sie ins Visier genommen hatten, an einem entfernten Standort zu impersonieren und dann den Zugriff auf das Subnetz der Produktionssysteme zu erweitern.

So begannen die Angreifer, Daten aus der Unternehmensdatenbank und -speichern zu stehlen, einschließlich Schlüssel, Tokens und Umgebungsvariablen der Kunden, unter Verwendung der Autorisierung des Ingenieurs.

Obwohl CircleCi die Daten verschlüsselt hatte, stahlen die Angreifer auch die verschlüsselten Schlüssel, indem sie sie in den laufenden Prozess einbrachten, was den Angreifern möglicherweise erlaubte, die gestohlenen verschlüsselten Daten zu entschlüsseln.

Sobald das Unternehmen von dem Sicherheitsvorfall erfuhr, sendeten sie eine E-Mail an die Kunden, in der sie sie benachrichtigten, alle ihre Tokens und Geheimnisse zu drehen, wenn sie sich nach dem 21. Dezember angemeldet hatten.

Das Unternehmen erwähnt, dass sie bereits alle Tokens, die ihren Kunden gehören, gedreht haben, einschließlich GitHub OAuth, persönliche API-Tokens und Projekt-API-Tokens. Darüber hinaus arbeitete CircleCi auch mit AWS und Atlassian zusammen, um die Kunden über wahrscheinlich kompromittierte Bitbucket-Tokens und AWS-Tokens zu informieren.

Um Vorfälle wie diese zu verhindern, hat das Unternehmen seine Infrastruktur gestärkt, indem es weitere Erkennungen für das Verhalten, das von der information-stehlenden Malware angezeigt wird, zu der Antivirensoftware und dem Mobile Device Management, das sie verwenden, hinzugefügt hat.

Darüber hinaus hat das Unternehmen nun den Zugriff auf seine Produktionsumgebung auf eine kleinere Anzahl von Personen weiter eingeschränkt und gleichzeitig die Sicherheit der 2FA-Implementierung erhöht.

Jetzt sind all diese Angriffe auf die Unternehmen einfach Beispiele für die erhöhte Zielgerichtetheit, die von Angreifern auf die Multi-Faktor-Authentifizierung, die von den Unternehmen implementiert wurde, ausgeübt wird, sei es durch Phishing-Angriffe oder information-stehlende Malware.

Wie wir wissen, werden MFAs von Unternehmen implementiert, um unbefugten Zugriff auf ihr System zu verhindern. Mit der zunehmenden Nutzung der MFAs haben sich jedoch auch die Angreifer weiterentwickelt und verwenden Taktiken wie den Diebstahl von Sitzungscookies, die bereits durch die MFA-Fatigue authentifiziert wurden, die von diesen Unternehmen implementiert wurde.

Es ist sehr wichtig für Unternehmen, diese Plattformen korrekt zu konfigurieren, damit sie erkennen können, wenn das Sitzungscookie von einem entfernten Standort verwendet wird, und dann weiteren MFA-Zugriff anfordern.

Lesen: 6 bösartige PyPi-Pakete installieren RAT-Malware über Cloudflare-Tunneling