해커들이 엔지니어의 감염된 2FA 기반 SSO를 통해 CircleCi 시스템을 침해하다

CircleCi, DevOps 관행에 사용되는 인기 있는 CI/CD(지속적 통합 및 지속적 개발) 플랫폼은 보안 취약점에 노출되었다고 밝혔다.

작년 12월, CircleCi의 한 엔지니어가 정보 탈취 악성코드에 감염되었고, 해커들은 이를 이용해 2FA 기반 SSO 세션 쿠키를 침해하여 CircleCi의 내부 시스템에 접근할 수 있었다.

CircleCi에서 발표한 보고서에 따르면, 고객이 자신의 GitHub OAuth 코드가 유출되었다고 보고한 후 보안 취약점에 대해 알게 되었다. 이 사건으로 인해 회사는 고객의 GitHub 인증 코드를 자동으로 회전시키게 되었다!

정보 탈취 악성코드는 이미 2FA를 통해 인증된 기업 세션 쿠키를 훔쳤고, 이를 통해 공격자들은 인증 없이 사용자로 로그인할 수 있었다.

더욱이, 이 악성코드는 세션 쿠키 도난을 실행할 수 있었고, 이로 인해 해커들은 원격 위치에서 목표로 삼은 직원을 가장하여 생산 시스템의 서브넷에 대한 접근을 확대할 수 있었다.

따라서 공격자들은 엔지니어의 권한을 사용하여 회사 데이터베이스 및 저장소에서 키, 토큰 및 고객 환경 변수를 포함한 데이터를 훔치기 시작했다.

CircleCi는 데이터를 암호화했지만, 공격자들은 실행 중인 프로세스에 던져서 암호화된 키를 훔쳤고, 이는 공격자들이 훔친 암호화된 데이터를 복호화할 수 있게 했을 가능성이 있다.

회사는 보안 침해 사실을 알게 되자, 12월 21일 이후 로그인한 고객에게 모든 토큰 및 비밀을 회전시키도록 알리는 이메일을 보냈다.

회사는 이미 고객의 GitHub OAuth, 개인 API 토큰 및 프로젝트 API 토큰을 포함한 모든 토큰을 회전시켰다고 언급했다. 이와 더불어 CircleCi는 AWS 및 Atlassian과 협력하여 고객에게 Bitbucket 토큰 및 AWS 토큰이 유출되었을 가능성을 알렸다.

이러한 사건이 발생하지 않도록 하기 위해, 회사는 정보 탈취 악성코드가 보이는 행동에 대한 추가 탐지를 위해 사용하는 안티바이러스 및 모바일 장치 관리 시스템을 강화했다.

또한, 회사는 이제 생산 환경에 대한 접근을 소수의 사람으로 더욱 제한하고 동시에 2FA 구현의 보안을 강화했다.

이제 이러한 기업에 대한 모든 공격은 해커들이 기업에서 구현한 다단계 인증(MFA)을 더욱 집중적으로 겨냥하는 사례일 뿐이다. 이는 피싱 공격이나 정보 탈취 악성코드를 통해 이루어진다.

우리가 아는 바와 같이, MFA는 기업이 시스템에 대한 무단 접근을 방지하기 위해 구현된다. 그러나 MFA의 사용이 증가함에 따라 공격자들도 진화하여 이미 MFA에 의해 인증된 세션 쿠키를 훔치는 전술을 사용하고 있다.

기업이 이러한 플랫폼을 올바르게 구성하여 세션 쿠키가 원격 위치에서 사용될 때 이를 감지하고 추가 MFA 접근을 요청하는 것이 매우 중요하다.

읽기: 6개의 악성 PyPi 패키지가 Cloudflare 터널링을 통해 RAT 악성코드를 설치함