Los hackers violan los sistemas de CircleCi a través de un SSO respaldado por 2FA infectado de un ingeniero

CircleCi, una popular plataforma de CI/CD (Integración Continua y Desarrollo Continuo) utilizada para prácticas de DevOps, reveló que sufrió una explotación de seguridad.

En diciembre del año pasado, un ingeniero de CircleCi se infectó con malware que roba información, que los hackers utilizaron para violar su cookie de sesión SSO respaldada por 2FA, lo que permitió a los atacantes acceder a los sistemas internos de CircleCi.

Un informe publicado por CircleCi, la plataforma de CI/CD, menciona que se enteraron de la explotación de seguridad después de que un cliente informó que su código OAuth de GitHub había sido comprometido. Este incidente llevó a la empresa a girar automáticamente los códigos de autenticación de GitHub de su cliente.

El malware que roba información robó la cookie de sesión corporativa, que ya había sido autenticada a través de 2FA, lo que permitió a los atacantes iniciar sesión como usuarios sin tener que autenticarla.

Además, el malware pudo ejecutar el robo de cookies de sesión, lo que permitió a los hackers suplantar al empleado que estaban atacando en una ubicación remota y luego amplificar el acceso a la subred de los sistemas de producción.

Así que los atacantes comenzaron a robar datos de la base de datos de la empresa y de las tiendas, que incluyen claves, tokens y variables de entorno de clientes, utilizando la autorización del ingeniero.

Aunque CircleCi había cifrado los datos, los atacantes también robaron las claves cifradas al lanzarlas en el proceso en ejecución, lo que posiblemente permitió a los atacantes descifrar los datos cifrados que fueron robados.

Tan pronto como la empresa se enteró de la violación de seguridad, enviaron un correo electrónico a los clientes notificándoles que giraran todos sus tokens y secretos si habían iniciado sesión después del 21 de diciembre.

La empresa menciona que ya han girado todos los tokens pertenecientes a sus clientes, que incluyen OAuth de GitHub, tokens API personales y tokens API de proyectos. Además de esto, CircleCi también trabajó con AWS y Atlassian para informar a los clientes sobre posibles tokens de Bitbucket y tokens de AWS comprometidos.

Para prevenir incidentes como estos, la empresa fortaleció su infraestructura al agregar una mayor detección del comportamiento mostrado por el malware que roba información al antivirus y a la Gestión de Dispositivos Móviles que utilizan.

Además, la empresa ahora ha restringido aún más el acceso a su entorno de producción a un número menor de personas y, al mismo tiempo, ha aumentado la seguridad de la implementación de 2FA.

Ahora, todos estos ataques a las empresas son simplemente instancias del aumento de la focalización realizada por los atacantes en la autenticación multifactor implementada por las empresas, ya sea mediante ataques de phishing o malware que roba información.

Como sabemos, las MFA se implementan en las empresas para prevenir cualquier acceso no autorizado a su sistema. Sin embargo, con el aumento del uso de las MFA, los atacantes también han evolucionado y están utilizando tácticas como el robo de cookies de sesión que ya están autenticadas por la fatiga de MFA en la MFA implementada por estas empresas.

Es muy importante que las empresas configuren estas plataformas correctamente para que puedan detectar cuándo se está utilizando la cookie de sesión desde una ubicación remota y luego solicitar un acceso adicional de MFA.

Leer: 6 Paquetes maliciosos de PyPi instalando malware RAT a través de túneles de Cloudflare