Des hackers ont pénétré les systèmes de CircleCi via le SSO protégé par 2FA d'un ingénieur infecté

CircleCi, une plateforme CI/CD (Intégration Continue & Développement Continu) populaire utilisée pour les pratiques DevOps, a révélé qu’elle avait subi une exploitation de sécurité.

En décembre de l’année dernière, un ingénieur de CircleCi a été infecté par un logiciel malveillant volé d’informations, que les hackers ont utilisé pour pénétrer leur cookie de session SSO protégé par 2FA, ce qui a permis aux attaquants d’accéder aux systèmes internes de CircleCi.

Un rapport publié par CircleCi, la plateforme CI/CD, mentionne qu’ils ont appris l’exploitation de sécurité après qu’un client a signalé que son code OAuth GitHub avait été compromis. Cet incident a conduit l’entreprise à faire tourner automatiquement les codes d’authentification GitHub de ses clients !

Le logiciel malveillant volé d’informations a dérobé le cookie de session d’entreprise, qui avait déjà été authentifié via le 2FA, ce qui a permis aux attaquants de se connecter en tant qu’utilisateurs sans avoir à l’authentifier.

De plus, le logiciel malveillant a pu exécuter le vol de cookie de session, ce qui a permis aux hackers d’usurper l’identité de l’employé qu’ils visaient dans un emplacement distant et d’amplifier l’accès au sous-réseau des systèmes de production.

Ainsi, les attaquants ont commencé à voler des données de la base de données de l’entreprise et des magasins, qui incluent des clés, des jetons et des variables d’environnement des clients, en utilisant l’autorisation de l’ingénieur.

Bien que CircleCi ait chiffré les données, les attaquants ont également volé les clés chiffrées en les injectant dans le processus en cours, ce qui a probablement permis aux attaquants de déchiffrer les données chiffrées qui avaient été volées.

Dès que l’entreprise a appris la violation de sécurité, elle a envoyé un e-mail aux clients les informant de faire tourner tous leurs jetons et secrets s’ils s’étaient connectés après le 21 décembre.

L’entreprise mentionne qu’elle a déjà fait tourner tous les jetons appartenant à ses clients, qui incluent GitHub OAuth, des jetons API personnels et des jetons API de projet. En plus de cela, CircleCi a également travaillé avec AWS et Atlassian pour informer les clients des jetons Bitbucket et AWS susceptibles d’avoir été compromis.

Pour prévenir des incidents comme celui-ci, l’entreprise a renforcé son infrastructure en ajoutant une détection supplémentaire pour le comportement affiché par le logiciel malveillant volé d’informations à l’antivirus et à la gestion des appareils mobiles qu’ils utilisent.

De plus, l’entreprise a maintenant restreint l’accès à son environnement de production à un plus petit nombre de personnes et a simultanément augmenté la sécurité de l’implémentation du 2FA.

Tous ces attaques sur les entreprises sont simplement des exemples de la cible accrue effectuée par les attaquants sur l’authentification multi-facteurs mise en œuvre par les entreprises, que ce soit par des attaques de phishing ou des logiciels malveillants volés d’informations.

Comme nous le savons, les MFA sont mises en œuvre par les entreprises pour prévenir tout accès non autorisé à leur système. Cependant, avec l’utilisation accrue des MFA, les attaquants ont également évolué et utilisent des tactiques comme le vol de cookies de session qui sont déjà authentifiés par la fatigue MFA sur le MFA mis en œuvre par ces entreprises.

Il est très important pour les entreprises de configurer correctement ces plateformes afin qu’elles puissent détecter quand le cookie de session est utilisé depuis un emplacement distant et demander ensuite un accès MFA supplémentaire.

Lire : 6 paquets PyPi malveillants installant des logiciels malveillants RAT via le tunneling Cloudflare