CircleCI在1月4日的時候,向用戶發出安全警報,提到他們正在調查一起安全事件,當時他們認為並沒有任何系統遭到入侵,但現在CircleCI安全事件調查報告出爐,不只發現用戶的加密金鑰被偷,攻擊者有能力存取GitHub儲存庫和第三方系統,並且已有用戶回報系統已遭駭客入侵。

在12月29日時,用戶通報可疑的GitHub OAuth活動,CircleCI因此發現用戶的GitHub OAuth權杖已被洩漏,因此啟動所有GitHub OAuth權杖輪替流程,而後經過CircleCI內部調查,確認攻擊者的入侵範圍和路徑,追溯發現有一名CircleCI工程師筆電被植入惡意軟體,駭客藉此竊取有效且支援2FA的SSO會話。

該電腦在12月16日遭到感染,防毒軟體未能偵測到該惡意軟體,惡意軟體在竊取會話Cookie之後,便能夠從遠端冒充該名CircleCI工程師,進而存取產品系統。因為該名工程師的日常職務,有權生成存取產品的權杖,因此攻擊者便能夠從資料庫和儲存系統上存取和洩漏資料,包括用戶的環境變數、權杖和金鑰。

官方提到,雖然所有資料都為靜態加密,但是因為攻擊者從正在執行的程序中擷取加密金鑰,因此能夠存取加密資料。

攻擊者在12月22日竊取用戶資料,其中包括第三方系統的環境變數、金鑰和權杖,CircleCI提醒,在這段時間曾將機密資訊存在CircleCI平臺的用戶,需要假設這些資訊已遭竊取,並採取建議的緩解措施,同時還需要調查系統中,12月16日至1月4日的可疑活動,1月5日之後才進到CircleCI平臺的資料則是安全的。

因為這個事件涉及第三方系統的金鑰和權杖洩漏,因此CircleCI無法得知用戶系統是否遭到入侵,但是已知有5個用戶通報,發現第三方系統遭到攻擊者存取。CircleCI已經完成Atlassian、AWS和GitHub OAuth權杖輪替,官方表示,現在用戶已經可以安全地在CircleCI上進行建置。

CircleCI承諾將進一步強化安全,行動包括替所有用戶啟動OAuth權杖自動定期輪替,並且從OAuth轉換使用GitHub應用程式,使得CircleCI能夠實行更精細的權限。CircleCI也將會對所有工具配置進行分析,擴大警示和減少會話信任,添加額外的身分驗證因素等。

熱門新聞

Advertisement