Die DevOps-Plattform CircleCI hat am Freitag bekannt gegeben, dass unbekannte Bedrohungsakteure den Laptop eines Mitarbeiters kompromittiert und Malware eingesetzt haben, um die Zugangsdaten für die Zwei-Faktor-Authentifizierung zu stehlen und so im vergangenen Monat in die Systeme und Daten des Unternehmens einzudringen.
Der CI/CD-Dienst CircleCI erklärte, dass der „ausgeklügelte Angriff“ am 16. Dezember 2022 stattfand und dass die Malware von seiner Antivirensoftware unentdeckt blieb.
„Die Malware war in der Lage, Sitzungs-Cookies zu stehlen, um sich als Mitarbeiter an einem entfernten Standort auszugeben und dann den Zugriff auf einen Teil unserer Produktionssysteme zu erlangen“, so Rob Zuber, Chief Technology Officer von CircleCI, in einem Bericht über den Vorfall.
Die weitere Analyse der Sicherheitslücke ergab, dass der unbefugte Dritte Daten aus einer Untergruppe der Datenbanken entwendete, indem er die erhöhten Berechtigungen, die dem betroffenen Mitarbeiter gewährt wurden, missbrauchte. Dazu gehörten Umgebungsvariablen, Token und Schlüssel von Kunden.
Es wird vermutet, dass der Bedrohungsakteur am 19. Dezember 2022 Aufklärungsarbeit leistete und dann am 22. Dezember 2022 die Datenexfiltration durchführte.
„Obwohl alle exfiltrierten Daten im Ruhezustand verschlüsselt waren, extrahierte der Dritte die Verschlüsselungsschlüssel aus einem laufenden Prozess, wodurch er potenziell auf die verschlüsselten Daten zugreifen konnte“, so Zuber.
Die Entwicklung kommt etwas mehr als eine Woche, nachdem CircleCI seine Kunden aufgefordert hat, alle ihre Geheimnisse zu rotieren. Dies war nach eigenen Angaben notwendig, nachdem CircleCI am 29. Dezember 2022 auf „verdächtige GitHub OAuth-Aktivitäten“ eines seiner Kunden aufmerksam gemacht wurde.
Als es erfuhr, dass das OAuth-Token des Kunden kompromittiert worden war, hat es proaktiv alle GitHub OAuth-Tokens rotiert, erklärte das Unternehmen und fügte hinzu, dass es mit Atlassian zusammengearbeitet hat, um alle Bitbucket-Tokens zu rotieren, Project API-Tokens und Personal API-Tokens zu widerrufen und Kunden über potenziell betroffene AWS-Tokens zu informieren.
Neben der Beschränkung des Zugriffs auf Produktionsumgebungen hat CircleCI nach eigenen Angaben weitere Authentifizierungssicherungen eingebaut, um einen unrechtmäßigen Zugriff zu verhindern, selbst wenn die Anmeldedaten gestohlen werden.
CircleCI plant außerdem eine regelmäßige automatische Rotation der OAuth-Tokens für alle Kunden, um solche Angriffe in Zukunft zu verhindern, und bietet den Nutzern die Möglichkeit, „die neuesten und fortschrittlichsten Sicherheitsfunktionen zu nutzen.