ハッカーがエンジニアの感染した2FA対応SSOを通じてCircleCiのシステムに侵入

CircleCi、DevOpsプラクティスに使用される人気のCI/CD（継続的インテグレーションおよび継続的開発）プラットフォームは、セキュリティの脆弱性に直面したことを明らかにしました。

昨年の12月、CircleCiのエンジニアが情報を盗むマルウェアに感染し、ハッカーはそれを利用して2FA対応のSSOセッションクッキーに侵入し、攻撃者はCircleCiの内部システムにアクセスできるようになりました。

CircleCiが発表した報告書によると、顧客がGitHub OAuthコードが侵害されたと報告した後に、セキュリティの脆弱性について知ることになりました。この事件により、同社は顧客のGitHub認証コードを自動的に回転させることになりました！

情報を盗むマルウェアは、すでに2FAを介して認証された企業のセッションクッキーを盗み、攻撃者は認証なしでユーザーとしてログインできるようになりました。

さらに、マルウェアはセッションクッキーの盗難を実行でき、これによりハッカーはターゲットにしていた従業員を遠隔地で偽装し、プロダクションシステムのサブネットへのアクセスを拡大しました。

そのため、攻撃者はエンジニアの承認を使用して、企業のデータベースやストアからデータを盗み始めました。これにはキー、トークン、顧客環境変数が含まれます。

CircleCiはデータを暗号化していましたが、攻撃者は実行中のプロセスに投げ込むことで暗号化されたキーも盗み、これにより攻撃者は盗まれた暗号化データを復号化できる可能性がありました。

企業がセキュリティ侵害について知るとすぐに、21日以降にログインした顧客にトークンとシークレットを回転させるよう通知するメールを送りました。

同社は、GitHub OAuth、個人APIトークン、プロジェクトAPIトークンを含む顧客のすべてのトークンをすでに回転させたと述べています。これに加えて、CircleCiはAWSおよびAtlassianと協力して、侵害された可能性のあるBitbucketトークンおよびAWSトークンについて顧客に通知しました。

このような事件が再発しないように、同社は情報を盗むマルウェアによって示された行動を検出するために、使用しているウイルス対策およびモバイルデバイス管理にさらなる検出機能を追加してインフラを強化しました。

さらに、同社は現在、プロダクション環境へのアクセスを少数の人に絞り、同時に2FAの実装のセキュリティを強化しました。

現在、企業に対するこれらの攻撃は、フィッシング攻撃や情報を盗むマルウェアによって、企業が実装した多要素認証に対する攻撃者のターゲティングが増加している単なる事例です。

私たちが知っているように、MFAは企業がシステムへの不正アクセスを防ぐために実装しています。しかし、MFAの使用が増えるにつれて、攻撃者も進化し、MFA疲労によってすでに認証されたセッションクッキーを盗むなどの戦術を使用しています。

企業がこれらのプラットフォームを正しく構成し、セッションクッキーが遠隔地から使用されているときに検出し、さらにMFAアクセスを要求できるようにすることが非常に重要です。

読む: 6つの悪意のあるPyPiパッケージがCloudflareトンネリングを介してRATマルウェアをインストール