Хакеры взломали системы CircleCi через зараженный 2FA-авторизованный SSO инженера

CircleCi, популярная платформа CI/CD (непрерывная интеграция и непрерывная разработка), используемая для практик DevOps, сообщила о том, что она подверглась атаке на безопасность.

В декабре прошлого года инженер CircleCi заразился вредоносным ПО, крадущим информацию, которое хакеры использовали для взлома их сессионного куки SSO, защищенного 2FA, что позволило злоумышленникам получить доступ к внутренним системам CircleCi.

В отчете, опубликованном CircleCi, говорится, что они узнали о нарушении безопасности после того, как клиент сообщил, что его код OAuth GitHub был скомпрометирован. Этот инцидент привел к тому, что компания автоматически изменила коды авторизации GitHub своих клиентов!

Вредоносное ПО, крадущее информацию, украло корпоративный сессионный куки, который уже был аутентифицирован через 2FA, что позволило злоумышленникам войти как пользователи без необходимости аутентификации.

Более того, вредоносное ПО смогло выполнить кражу сессионного куки, что позволило хакерам выдать себя за целевого сотрудника в удаленном месте и затем расширить доступ к подсети производственных систем.

Таким образом, злоумышленники начали красть данные из базы данных компании и магазинов, включая ключи, токены и переменные окружения клиентов, используя авторизацию инженера.

Хотя CircleCi зашифровала данные, злоумышленники также украли зашифрованные ключи, бросив их в выполняемый процесс, что, возможно, позволило им расшифровать украденные данные.

Как только компания узнала о нарушении безопасности, она отправила электронное письмо клиентам, уведомляя их о необходимости изменить все свои токены и секреты, если они входили в систему после 21 декабря.

Компания сообщает, что они уже изменили все токены, принадлежащие их клиентам, включая GitHub OAuth, персональные API токены и проектные API токены. В дополнение к этому, CircleCi также работала с AWS и Atlassian, чтобы уведомить клиентов о вероятно скомпрометированных токенах Bitbucket и AWS.

Чтобы предотвратить подобные инциденты в будущем, компания усилила свою инфраструктуру, добавив дополнительные средства обнаружения поведения, проявляемого вредоносным ПО, крадущим информацию, к антивирусу и управлению мобильными устройствами, которые они используют.

Более того, компания теперь еще больше ограничила доступ к своей производственной среде для меньшего числа людей и одновременно увеличила безопасность реализации 2FA.

Теперь все эти атаки на компании являются просто примерами увеличенного целенаправленного воздействия со стороны злоумышленников на многофакторную аутентификацию, реализованную компаниями, будь то фишинговые атаки или вредоносное ПО, крадущее информацию.

Как мы знаем, MFA реализованы компаниями для предотвращения несанкционированного доступа к их системе. Однако с увеличением использования MFA злоумышленники также эволюционировали и используют такие тактики, как кража сессионных куки, которые уже аутентифицированы с помощью усталости MFA, реализованной этими компаниями.

Очень важно, чтобы компании правильно настраивали эти платформы, чтобы они могли обнаруживать, когда сессионный куки используется из удаленного места, и затем запрашивать дополнительный доступ MFA.

Читать: 6 вредоносных пакетов PyPi, устанавливающих RAT-вредоносное ПО через туннелирование Cloudflare