image

CircleCI roept klanten op om secrets direct te roteren wegens security-incident

donderdag 5 januari 2023, 09:34 door Redactie, 7 reacties

Het populaire devops-platform CircleCI heeft alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren wegens een beveiligingsincident. Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. In een verklaring laat het bedrijf weten dat het is getroffen door een beveiligingsincident. Het onderzoek is nog gaande, maar CircleCI claimt dat het op dit moment geen aanwijzingen heeft dat aanvallers actief zijn in de systemen.

Of die dat eerst wel waren en wat er nu precies aan de hand is wordt niet duidelijk uit de zeer summiere verklaring. Wel roept CircleCI klanten "uit voorzorg" op om meteen alle secrets die ze binnen het CircleCI-platform hebben opgeslagen te roteren. Wanneer de secrets zijn geroteerd wordt klanten aangeraden om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023.

Verder heeft CircleCI bij klanten die voor hun softwareprojecten gebruikmaken van API-tokens deze onbruikbaar gemaakt, wat inhoudt dat klanten deze tokens moeten vervangen. De komende dagen zegt CircleCI, dat in de verklaring maar liefst drie maal oproept om opgeslagen secrets te roteren, meer informatie over het beveiligingsincident te delen.

Reacties (7)
05-01-2023, 10:09 door Anoniem
CircleCI for windows dat durven ze er niet bij te zeggen.
05-01-2023, 10:10 door Erik van Straten
In september was CircleCI (voor zover ik weet) niet gehacked, maar kregen gebruikers van dat platform te maken met een phishing-aanval; zie https://www.security.nl/posting/768861/GitHub-gebruikers+doelwit+van+phishingaanval+die+ook+2FA-codes+steelt#posting768888.
05-01-2023, 10:50 door Anoniem
Door Anoniem: CircleCI for windows dat durven ze er niet bij te zeggen.
Een Linux gebruikt geen wachtwoorden?
05-01-2023, 11:05 door Anoniem
Ze zouden toch niet passwordstate gebruiken? Op 19 december is namelijk een ernstige kwetsbaarheid gepubliceerd en ze roepen op om te controleren vanaf 21 december.
https://www.security.nl/posting/778870/Wachtwoordmanager+Passwordstate+kan+door+kritiek+lek+wachtwoorden+lekken
05-01-2023, 14:32 door Anoniem
Door Anoniem:
Door Anoniem: CircleCI for windows dat durven ze er niet bij te zeggen.
Een Linux gebruikt geen wachtwoorden?
Nee geen wachtwoorden maar SSH keys. De private key gaat niet over de lijn zoals een wachtwoord. Linux != Windows
05-01-2023, 19:44 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: CircleCI for windows dat durven ze er niet bij te zeggen.
Een Linux gebruikt geen wachtwoorden?
Nee geen wachtwoorden maar SSH keys. De private key gaat niet over de lijn zoals een wachtwoord. Linux != Windows
Bedankt voor deze info!
Maakt CircleCI gebruik van MFA i.c.m. de API-tokens of is dat helaas niet het geval?
05-01-2023, 23:03 door Juice
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: CircleCI for windows dat durven ze er niet bij te zeggen.
Een Linux gebruikt geen wachtwoorden?
Nee geen wachtwoorden maar SSH keys. De private key gaat niet over de lijn zoals een wachtwoord. Linux != Windows
Bedankt voor deze info!
Maakt CircleCI gebruik van MFA i.c.m. de API-tokens of is dat helaas niet het geval?

Volgens mij inderdaad niet ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.