Bulut güvenlik firması Datadog, RPM GPG imzalama anahtarlarından birinin ve parolasının yakın tarihli bir Circleci güvenlik ihlali sırasında maruz kaldığını söylüyor.
Ancak şirket, bu anahtarın sızdırıldığına veya kötüye kullanıldığına dair kanıt bulamadığını ekledi.
Datadog, "16 Ocak 2023'ten itibaren Datadog'un anahtarın gerçekten sızdırıldığına veya kötüye kullanıldığına dair hiçbir belirti yok, ancak hala aşağıdaki eylemleri dikkatli bir şekilde alıyoruz." Dedi.
Circleci'nin tehdit oyuncusunun müşterilerin çevre değişkenlerini, jetonlarını ve anahtarlarını veritabanlarından çaldığı açıklamasına yanıt olarak, Datadog yeni bir anahtarla imzalanan CentOS/RHEL için Agent 5 RPM'nin yeni bir sürümünü yayınladı.
Şirket ayrıca etkilenen anahtarı Datadog Repo dosyasından ve RPM veritabanından kaldıran yeni bir Linux yükleme komut dosyası yayınladı.
Datadog, saldırgan imza anahtarını çalmayı başarsa ve kötü niyetli bir RPM paketi oluştursa bile, resmi paket depolarına erişmeleri gerekecekleri için şirketin müşterilerini hedeflemek için kullanamayacaklarını da sözlerine ekledi.
"Resmi DataDog depoları tehlikeye atılmadı. İmzalama anahtarı, gerçekten sızdırılırsa, Datadog'dan gibi görünen bir RPM paketi oluşturmak için kullanılabilir, ancak resmi paket depolarımıza böyle bir paketi yerleştirmek yeterli olmaz" Datadog dedim.
"Etkilenen anahtara sahip varsayımsal bir saldırganın, oluşturulan RPM paketini sistem tarafından kullanılan bir depoya yükleyebilmesi gerekir."
Müşterilere, sistemlerinin etkilenen anahtara güvenmeyi bırakmasını ve hala öyle yapmaları durumunda, anahtarı silmelerini ve yüklenen tümün Datadog tarafından burada mevcut talimatlar kullanılarak oluşturulup oluşturulmadığını doğrulamalarını sağlamaları önerilir.
Datadog, bu bilgileri belge sayfasında, şirketin web sitesinde diğer SSS'lerin yanındaki listelenmeyen "sık sorulan sorular" olarak yayınladı.
Ayrıca, BleepingComputer bu sayfayı Web'de bulamadı, çünkü Datadog meta verilerine 'NoindEx' ve 'Nofollow' etiketleri eklediğinden arama motorları dizine eklemeyecek.
Bir Datadog sözcüsü, daha fazla ayrıntı için bugün daha önce BleepingComputer tarafından iletişime geçildiğinde hemen yorum yapmak için mevcut değildi.
Datadog'un açıklaması, Circleci'nin Cuma günü sistemlerinin bir mühendisin kötü amaçlı yazılımla enfekte dizüstü bilgisayarı aracılığıyla ihlal edildiğini açıkladıktan sonra geliyor.
Circleci ilk olarak Ocak ayı başlarında bir güvenlik olayı yaşadığını açıkladı ve tüm müşterileri sırlarını ve jetonlarını döndürmeleri konusunda uyardı.
Geçen hafta, yazılım şirketi, saldırganların, çalışanın tehlikeye atılan cihazından 2FA destekli bir SSO oturum çerezi kullanarak dahili sistemlerine eriştikten sonra müşteri sırlarını da çaldığını söyledi.
Şirket, birden fazla müşterinin ("5'ten az") zaten "üçüncü taraf sistemlere yetkisiz erişim" bulduğunu ve müşterileri 16 Aralık 2022'den itibaren şüpheli etkinlik için ortamlarını araştırmaları konusunda uyardı.
Circleci güvenlik ihlali konusunda uyarır - sırlarınızı döndürün!
Circleci'nin Kötü Yazılım Çalma Mühendisi'nin 2FA destekli oturumundan kaynaklanan hack
Chick-Fil-A, saldırıya uğramış müşteri hesaplarının raporlarını araştırıyor
Rackspace: Güvenlik olayının neden olduğu değişim kesintisi
Kaynak: Bleeping Computer