image

Inbraak CircleCI via gestolen '2FA-backed' SSO-sessie van laptop engineer

maandag 16 januari 2023, 09:46 door Redactie, 7 reacties

De inbraak bij het populaire devops-platform CircleCI was mogelijk door malware die de '2FA-backed' SSO-sessie van een engineer wist te stelen, zo laat het bedrijf in een rapport over het incident weten. De malware werd niet door de antivirussoftware op de laptop van de engineer gedetecteerd.

Het platform van CircleCI wordt gebruikt voor het ontwikkelen, testen en uitrollen van software. Begin januari liet het bedrijf weten dat het was getroffen door een beveiligingsincident en werden alle klanten opgeroepen om direct al hun secrets zoals wachtwoorden te roteren. Verder werd klanten verzocht om hun logbestanden op ongeautoriseerde toegang tot systemen te controleren in de periode van 21 december 2022 tot en met 4 januari 2023.

In het incidentrapport laat CircleCI weten dat het op 29 december door een klant over verdachte GitHub OAuth-activiteit werd gewaarschuwd. Een dag later bleek dat het GitHub OAuth-token van deze niet nader genoemde klant was gestolen. CircleCI biedt de mogelijkheid om het platform met dat van ontwikkelaarsplatform GitHub te integreren. Daarvoor wordt gebruikgemaakt van tokens. Via bij CircleCI gestolen tokens kan er zo toegang tot de GitHub-omgeving worden verkregen.

Verder onderzoek wees uit dat de aanval was begonnen via de laptop van een engineer. Zijn computer was op 16 december 2022 besmet geraakt met malware die de '2FA-backed' SSO-sessie wist te stelen. Daarmee kon de aanvaller zich voordoen als de engineer en toegang tot productiesystemen van CircleCI krijgen. De engineer in kwestie had de mogelijkheid om toegangstokens te genereren waarmee de aanvaller toegang kon kregen tot gevoelige gegevens van klanten, waaronder tokens, keys en databases.

Deze data werd ook bij de aanval buitgemaakt. Hoewel de gegevens waren versleuteld werden ook de encryptiesleutels uit een draaiend proces gestolen, waardoor het ontsleutelen van de gestolen data mogelijk is. CircleCI stelt dat alle klanten die in de eerder genoemde periode gegevens bij het bedrijf hadden opgeslagen ervan moeten uitgaan dat hun data is buitgemaakt en gecompromitteerd. Met deze gegevens is er mogelijk ook toegang tot de systemen van klanten verkregen.

Hoe de laptop van de engineer besmet kon raken is niet bekendgemaakt. CircleCI spreekt van een "geraffineerde aanval", maar geeft verder geen enkele details waarin dit wordt uitgelegd. Verder gaat het bedrijf de authenticatie aanscherpen en heeft het andere maatregelen aangekondigd. Er werd al gebruikgemaakt van tweefactorauthenticatie (2FA) om medewerkers in te laten loggen. CircleCI maakt daarbij gebruik van single sign-on authentication (SSO) waarbij personeel door één keer in te loggen toegang tot meerdere applicaties kan krijgen.

Reacties (7)
16-01-2023, 10:28 door Anoniem
Dat de techniek achter de aanval geraffineerd is geloof ik wel, maar de meeste besmettingen die ik tegen kom zijn verre van geraffineerd en vallen vaak in de categorieën "op een link in een mailtje geklikt, verkeerde website bezocht, social engineering, software uit onbetrouwbare bron geïnstalleerd".

Jammer dat daar geen additionele informatie over wordt verstrekt. Daar zouden veel mensen wat aan hebben, zeker als het zo geraffineerd is als ze willen doen voorkomen.
16-01-2023, 17:45 door Anoniem
Door Anoniem:
Jammer dat daar geen additionele informatie over wordt verstrekt. Daar zouden veel mensen wat aan hebben, zeker als het zo geraffineerd is als ze willen doen voorkomen.
Als er in een persbericht wordt gesproken van een "geraffineerde aanval" dan betekent dat meestal dat iemand van de
techniek of van het externe bureau wat is ingeschakeld het heeft proberen uit te leggen aan de manager of de communicatie
medewerker, en die snapte er niks van. Hoe geraffineerd het dan echt was, hangt af van het begrip bij die manager
of communicatie medewerker, niet van de aanval zelf.
16-01-2023, 22:23 door Anoniem
wat meer info. het was waarschijnlijk een Mac zijn laptop. lees https://circleci.com/blog/jan-4-2023-incident-report/ over PTX-Player.dmg enzv.
17-01-2023, 10:48 door Anoniem
Door Anoniem: wat meer info. het was waarschijnlijk een Mac zijn laptop. lees https://circleci.com/blog/jan-4-2023-incident-report/ over PTX-Player.dmg enzv.
Nee. Het gaat hier over de macOS execution environment, die wordt gebruikt voor o.a. iOS and macOS development. Die omgeving kan je vanaf een windows laptop gebruiken om jobs op te starten in een macOS environment op een virtuele machine.
17-01-2023, 16:56 door Anoniem
Door Anoniem:
Door Anoniem: wat meer info. het was waarschijnlijk een Mac zijn laptop. lees https://circleci.com/blog/jan-4-2023-incident-report/ over PTX-Player.dmg enzv.
Nee. Het gaat hier over de macOS execution environment, die wordt gebruikt voor o.a. iOS and macOS development. Die omgeving kan je vanaf een windows laptop gebruiken om jobs op te starten in een macOS environment op een virtuele machine.

euh op windows of linux oid hoef je niet in /private te checken of daar foute binaries staan:

"
Malicious files to search for and remove:

/private/tmp/.svx856.log
/private/tmp/.ptslog
PTX-Player.dmg (SHA256: 8913e38592228adc067d82f66c150d87004ec946e579d4a00c53b61444ff35bf)
PTX.app

"
18-01-2023, 13:52 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: wat meer info. het was waarschijnlijk een Mac zijn laptop. lees https://circleci.com/blog/jan-4-2023-incident-report/ over PTX-Player.dmg enzv.
Nee. Het gaat hier over de macOS execution environment, die wordt gebruikt voor o.a. iOS and macOS development. Die omgeving kan je vanaf een windows laptop gebruiken om jobs op te starten in een macOS environment op een virtuele machine.

euh op windows of linux oid hoef je niet in /private te checken of daar foute binaries staan:

"
Malicious files to search for and remove:

/private/tmp/.svx856.log
/private/tmp/.ptslog
PTX-Player.dmg (SHA256: 8913e38592228adc067d82f66c150d87004ec946e579d4a00c53b61444ff35bf)
PTX.app

"
Dat gaat over de VM (macOS environment) van CirclCI niet over windows Mac of Linux laptop.
Die VM is besmet door een laptop! Ligt voor de hand door wat voor een.
18-01-2023, 16:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: wat meer info. het was waarschijnlijk een Mac zijn laptop. lees https://circleci.com/blog/jan-4-2023-incident-report/ over PTX-Player.dmg enzv.
Nee. Het gaat hier over de macOS execution environment, die wordt gebruikt voor o.a. iOS and macOS development. Die omgeving kan je vanaf een windows laptop gebruiken om jobs op te starten in een macOS environment op een virtuele machine.

euh op windows of linux oid hoef je niet in /private te checken of daar foute binaries staan:

"
Malicious files to search for and remove:

/private/tmp/.svx856.log
/private/tmp/.ptslog
PTX-Player.dmg (SHA256: 8913e38592228adc067d82f66c150d87004ec946e579d4a00c53b61444ff35bf)
PTX.app

"
Dat gaat over de VM (macOS environment) van CirclCI niet over windows Mac of Linux laptop.
Die VM is besmet door een laptop! Ligt voor de hand door wat voor een.

Er staat nergens in het rapport iets over een VM of virtual machine, dus waar baseer je dit op? Lijkt mij DIKKE KLETSKOEK. Meest voor de hand liggend is dat die engineer mac malware heeft gedownload.

https://news.ycombinator.com/item?id=34389742
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.