Gli hacker violano i sistemi di CircleCi tramite il 2FA e SSO infettato di un ingegnere

CircleCi, una popolare piattaforma CI/CD (Integrazione Continua & Sviluppo Continuo) utilizzata per pratiche DevOps, ha rivelato di aver subito un exploit di sicurezza.

Nel dicembre dello scorso anno, un ingegnere di CircleCi è stato infettato da malware che ruba informazioni, che gli hacker hanno utilizzato per violare il cookie di sessione SSO supportato da 2FA, consentendo agli attaccanti di accedere ai sistemi interni di CircleCi.

Un rapporto pubblicato da CircleCi, la piattaforma CI/CD, menziona che hanno appreso dell’exploit di sicurezza dopo che un cliente ha segnalato che il proprio codice OAuth di GitHub era stato compromesso. Questo incidente ha portato l’azienda a ruotare automaticamente i codici di autenticazione GitHub dei propri clienti!

Il malware che ruba informazioni ha rubato il cookie di sessione aziendale, che era già stato autenticato tramite il 2FA, consentendo agli attaccanti di accedere come utenti senza doverlo autenticare.

Inoltre, il malware è stato in grado di eseguire il furto del cookie di sessione, il che ha permesso agli hacker di impersonare l’impiegato che stavano prendendo di mira in una posizione remota e poi amplificare l’accesso alla sottorete dei sistemi di produzione.

Così gli attaccanti hanno iniziato a rubare dati dal database e dai negozi dell’azienda, che includono chiavi, token e variabili ambientali dei clienti, utilizzando l’autorizzazione dell’ingegnere.

Sebbene CircleCi avesse crittografato i dati, gli attaccanti hanno rubato anche le chiavi crittografate lanciandole nel processo in esecuzione, il che ha probabilmente consentito agli attaccanti di decrittografare i dati crittografati rubati.

Non appena l’azienda ha appreso della violazione della sicurezza, ha inviato un’email ai clienti notificandoli di ruotare tutti i loro token e segreti se avevano effettuato l’accesso dopo il 21 dicembre.

L’azienda menziona di aver già ruotato tutti i token appartenenti ai propri clienti, che includono GitHub OAuth, token API personali e token API di progetto. Inoltre, CircleCi ha anche collaborato con AWS e Atlassian per informare i clienti dei probabili token Bitbucket e token AWS compromessi.

Per prevenire incidenti come questi, l’azienda ha rafforzato la propria infrastruttura aggiungendo ulteriori rilevamenti per il comportamento mostrato dal malware che ruba informazioni all’antivirus e alla gestione dei dispositivi mobili che utilizzano.

Inoltre, l’azienda ha ora ulteriormente ristretto l’accesso al proprio ambiente di produzione a un numero minore di persone e ha contemporaneamente aumentato la sicurezza dell’implementazione del 2FA.

Ora tutti questi attacchi alle aziende sono semplicemente casi dell’aumento del targeting effettuato dagli attaccanti sull’autenticazione a più fattori implementata dalle aziende, sia attraverso attacchi di phishing che malware che ruba informazioni.

Come sappiamo, le MFA sono implementate dalle aziende per prevenire accessi non autorizzati ai loro sistemi. Tuttavia, con l’aumento dell’uso delle MFA, anche gli attaccanti si sono evoluti e stanno utilizzando tattiche come il furto di cookie di sessione già autenticati dalla Fatica MFA sull’MFA implementata da queste aziende.

È molto importante per le aziende configurare correttamente queste piattaforme in modo che possano rilevare quando il cookie di sessione viene utilizzato da una posizione remota e quindi richiedere ulteriore accesso MFA.

Leggi: 6 Pacchetti PyPi dannosi che installano malware RAT tramite tunneling Cloudflare