Ga naar inhoud

Aanbevolen berichten

Geplaatst:

De inbraak bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd.

Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023.

In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen.

Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases.

Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen.

Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen.

 

bron: https://www.security.nl

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.