La plate-forme DevOps CircleCI a révélé vendredi que des acteurs de la menace non identifiés avaient compromis l’ordinateur portable d’un employé et exploité des logiciels malveillants pour voler leurs informations d’identification basées sur l’authentification à deux facteurs afin de violer les systèmes et les données de l’entreprise le mois dernier.
Le service CI/CD CircleCI a déclaré que « l’attaque sophistiquée » avait eu lieu le 16 décembre 2022 et que le logiciel malveillant n’avait pas été détecté par son logiciel antivirus.
« Le logiciel malveillant a pu exécuter le vol de cookies de session, leur permettant de se faire passer pour l’employé ciblé dans un emplacement distant, puis d’augmenter l’accès à un sous-ensemble de nos systèmes de production », a déclaré Rob Zuber, directeur de la technologie de CircleCI, m’a dit dans un rapport d’incident.
Une analyse plus approfondie de la faille de sécurité a révélé que le tiers non autorisé avait volé des données d’un sous-ensemble de ses bases de données en abusant des autorisations élevées accordées à l’employé ciblé. Cela comprenait les variables d’environnement client, les jetons et les clés.
On pense que l’acteur menaçant s’est engagé dans une activité de reconnaissance le 19 décembre 2022, suivie d’une étape d’exfiltration de données le 22 décembre 2022.
« Bien que toutes les données exfiltrées aient été cryptées au repos, le tiers a extrait les clés de cryptage d’un processus en cours, leur permettant d’accéder potentiellement aux données cryptées », a déclaré Zuber.
Le développement intervient un peu plus d’une semaine après que CircleCI a exhorté ses clients à faire pivoter tous leurs secrets, ce qui, selon lui, était nécessaire après avoir été alerté d’une « activité GitHub OAuth suspecte » par l’un de ses clients le 29 décembre 2022.
Après avoir appris que le jeton OAuth du client avait été compromis, il a pris l’initiative de faire tourner tous les jetons GitHub OAuth de manière proactive, a déclaré la société, ajoutant qu’elle travaillait avec Atlassian pour faire tourner tous les jetons Bitbucket, a révoqué les jetons d’API de projet et les jetons d’API personnels, et a informé les clients. des jetons AWS potentiellement concernés.
En plus de limiter l’accès aux environnements de production, CircleCI a déclaré avoir intégré davantage de garde-corps d’authentification pour empêcher tout accès illégitime même si les informations d’identification sont volées.
Il prévoit en outre de lancer une rotation automatique périodique des jetons OAuth pour tous les clients afin de dissuader de telles attaques à l’avenir, tout en introduisant des options permettant aux utilisateurs d' »adopter les fonctionnalités de sécurité les plus récentes et les plus avancées disponibles ».