Hackers Invadem Sistemas da CircleCi via SSO com 2FA Infectado de Engenheiro

CircleCi, uma popular plataforma de CI/CD (Integração Contínua & Desenvolvimento Contínuo) usada para práticas de DevOps, revelou que sofreu uma exploração de segurança.

Em dezembro do ano passado, um engenheiro da CircleCi foi infectado com malware que rouba informações, que os hackers usaram para invadir seu cookie de sessão SSO suportado por 2FA, o que permitiu que os atacantes acessassem os sistemas internos da CircleCi.

Um relatório publicado pela CircleCi, a plataforma de CI/CD, menciona que eles souberam sobre a exploração de segurança após um cliente relatar que seu código OAuth do GitHub havia sido comprometido. Este incidente levou a empresa a girar automaticamente os códigos de autenticação do GitHub de seus clientes!

O malware que rouba informações roubou o cookie de sessão corporativa, que já havia sido autenticado via 2FA, permitindo que os atacantes fizessem login como usuários sem precisar autenticar.

Além disso, o malware foi capaz de executar o roubo do cookie de sessão, o que permitiu que os hackers se passassem pelo funcionário que estavam visando em uma localização remota e, em seguida, ampliassem o acesso à sub-rede dos sistemas de produção.

Assim, os atacantes começaram a roubar dados do banco de dados da empresa e das lojas, que incluem chaves, tokens e variáveis de ambiente do cliente, usando a autorização do engenheiro.

Embora a CircleCi tenha criptografado os dados, os atacantes também roubaram as chaves criptografadas ao lançá-las no processo em execução, o que possivelmente permitiu que os atacantes descriptografassem os dados criptografados que foram roubados.

Assim que a empresa soube sobre a violação de segurança, enviou um e-mail aos clientes notificando-os a girar todos os seus tokens e segredos se eles fizeram login após 21 de dezembro.

A empresa menciona que já girou todos os tokens pertencentes a seus clientes, que incluem OAuth do GitHub, tokens de API pessoais e tokens de API de projeto. Além disso, a CircleCi também trabalhou com a AWS e a Atlassian para informar os clientes sobre possíveis tokens do Bitbucket e tokens da AWS comprometidos.

Para evitar que incidentes como esses ocorram, a empresa fortaleceu sua infraestrutura adicionando mais detecção para o comportamento exibido pelo malware que rouba informações ao antivírus e ao Gerenciamento de Dispositivos Móveis que utilizam.

Além disso, a empresa agora restringiu ainda mais o acesso ao seu ambiente de produção a um número menor de pessoas e, simultaneamente, aumentou a segurança da implementação do 2FA.

Agora, todos esses ataques às empresas são simplesmente instâncias do aumento do direcionamento feito por atacantes na autenticação multifatorial implementada pelas empresas, seja por meio de ataques de phishing ou malware que rouba informações.

Como sabemos, as MFAs são implementadas pelas empresas para prevenir qualquer acesso não autorizado ao seu sistema. No entanto, com o aumento do uso das MFAs, os atacantes também evoluíram e estão usando táticas como roubo de cookies de sessão que já estão autenticados pela fadiga da MFA na MFA implementada por essas empresas.

É muito importante que as empresas configurem essas plataformas corretamente para que possam detectar quando o cookie de sessão está sendo usado de uma localização remota e, em seguida, solicitar um acesso adicional à MFA.

Leia: 6 Pacotes Maliciosos do PyPi Instalando Malware RAT via Túnel do Cloudflare