Bilgisayar korsanları, bir mühendisin 2FA destekli SSO oturum çerezlerine sahip bilgi çalma kötü amaçlı yazılımları ile enfekte olduktan sonra Circleci'yi Aralık ayında ihlal etti ve şirketin dahili sistemlerine erişim sağladı.
Bu ayın başlarında Circleci, bir güvenlik olayı yaşadıklarını açıkladı ve müşterileri jetonlarını ve sırlarını döndürmeleri konusunda uyardı.
Saldırı hakkındaki yeni bir güvenlik olayı raporunda Circleci, bir müşteri Github OAuth jetonunun tehlikeye atıldığını bildirdikten sonra sistemlerine yetkisiz erişimi ilk kez öğrendiklerini söyledi.
Bu uzlaşma, Circleci'nin müşterileri için Github OAuth jetonlarını otomatik olarak döndürmesine yol açtı.
4 Ocak'ta bir iç soruşturma, bir mühendisin 16 Aralık'ta şirketin antivirüs yazılımının algılamadığı bilgi çalma kötü amaçlı yazılımları ile enfekte olduğu sonucuna vardı.
Bu kötü amaçlı yazılım, 2FA aracılığıyla daha önce kimliği doğrulanmış olan bir kurumsal oturum çerezini çalabildi ve tehdit aktörünün tekrar 2FA üzerinden kimlik doğrulaması yapmadan kullanıcı olarak oturum açmasına izin verdi.
Circleci'nin yeni olay raporu, "Araştırmamız, kötü amaçlı yazılımın oturum çerez hırsızlığı yürütebildiğini ve daha sonra üretim sistemlerimizin bir alt kümesine erişimi artırmalarını ve daha sonra üretim sistemlerimizin bir alt kümesine erişebilmelerini sağlayabildiğini gösteriyor."
Mühendisin ayrıcalıklarını kullanarak Circleci, bilgisayar korsanının 22 Aralık'ta şirketin çevre değişkenleri, jetonlar ve anahtarlar da dahil olmak üzere bazı veritabanlarından ve mağazalarından veri çalmaya başladığını söyledi.
Circleci verileri dinlenme halindeyken şifrelerken, hacker aynı zamanda şifreleme anahtarlarını çalıştırma işlemlerinden atarak çaldı ve potansiyel olarak tehdit oyuncunun şifreli, çalınan verileri şifresini çözmesine izin verdi.
Veri hırsızlığı öğrendikten sonra, şirket olayla ilgili e -posta yoluyla müşterileri uyarmaya başladı ve 21 Aralık 2022 ve 4 Ocak 2023 arasında oturum açmış olsaydı tüm jetonları ve sırları döndürmeleri için uyardı.
Saldırıya yanıt olarak Circleci, Project API jetonları, kişisel API jetonları ve GitHub OAuth tokenleri de dahil olmak üzere müşterileriyle ilişkili tüm jetonları döndürdüklerini söylüyor. Şirket ayrıca müşterileri muhtemelen tehlikeye atılmış Bitbucket jetonları ve AWS jetonları konusunda bilgilendirmek için Atlassian ve AWS ile birlikte çalıştı.
Altyapılarını daha da güçlendirmek için Circleci, bilgi çalan kötü amaçlı yazılımlar tarafından sergilenen davranışlar için antivirüs ve mobil cihaz yönetimi (MDM) sistemlerine daha fazla tespit eklediklerini söylüyor.
Şirket ayrıca üretim ortamlarına erişimi daha küçük bir insan alt kümesiyle sınırladı ve 2FA uygulamasının güvenliğini artırdı.
Circleci'nin olay raporu, tehdit aktörleri tarafından çok faktörlü kimlik doğrulamanın daha fazla hedeflenmesinin bir başka örneğidir.
Bilgi çalan kötü amaçlı yazılım veya kimlik avı saldırıları yoluyla, tehdit aktörleri genellikle kurumsal kimlik bilgileri ararlar.
Bu nedenle, işletme, bu kimlik bilgileri çalınsa bile kurumsal sistemlere erişimi önlemek için MFA'yı giderek daha fazla kabul etmiştir.
Bununla birlikte, bu artan benimseme ile tehdit aktörleri, MFA'ya zaten doğrulanmış oturum çerezlerini çalmak veya MFA yorgunluk saldırıları kullanmak gibi MFA'yı atlamak için taktikleri geliştiriyor.
Bu saldırılar, Microsoft, Cisco, Uber ve şimdi Circleci'ye karşı son siber saldırılar da dahil olmak üzere büyük kurumsal ağları ihlal etmede çok başarılı oldu.
MFA kullanmak hala hayati öneme sahip olsa da, bu platformları yeni bir konumda bir oturum çerezinin ne zaman kullanıldığını tespit etmek ve daha sonra daha fazla MFA doğrulaması istemek için düzgün bir şekilde yapılandırmak da aynı derecede önemlidir.
Ayrıca, Microsoft ve Duo, yöneticilere çalınan kimlik bilgilerini kullanarak girişlere karşı korunmaya yardımcı olmak için Duo'da doğrulanmış Push olarak da bilinen MFA numarası eşleştirme gibi daha yeni özellikleri etkinleştirmelerini tavsiye ediyor.
Slack'in özel Github kodu depoları tatillerde çalındı
Circleci güvenlik ihlali konusunda uyarır - sırlarınızı döndürün!
Comcast Xfinity Hesapları Saldırgan 2FA bypass saldırılarında
GitHub, tüm kullanıcıların 2023 sonuna kadar 2FA'yı etkinleştirmesini isteyecek
Saldırganlar TeamViewer üzerinden Coinbase ve Metamask 2FA'yı Bypass, Sahte Destek Sohbeti
Kaynak: Bleeping Computer