17 Ιανουαρίου 2023, 11:34
Τον Δεκέμβριο, χάκερ κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα της CircleCi εκμεταλλευόμενοι το SSO session cookie ενός μηχανικού που είχαν μολύνει με info-stealing malware. Το session cookie ήταν προστατευμένο με 2FA (2 Factor Authentication) μέθοδο.
Πρόσφατα, η εταιρεία αποκάλυψε τη παραβίαση αυτή και συμβούλεψε τους πελάτες της να αλλάξουν τα tokens και τα «μυστικά» τους.
Δημοσίευσε πρόσφατα μια σχετική έκθεση, λέγοντας πως ότι αντιλήφθηκαν τη παραβίαση στα συστήματά τους, όταν ένας πελάτης τους ενημέρωσε ότι το OAuth token του στο GitHub είχε παραβιαστεί.
Δείτε επίσης: Υποκλοπές: Η ΑΠΔΠΧ επέβαλλε πρόστιμο στην Intellexa για μη συνεργασία
4 Ιανουαρίου ξεκίνησε εσωτερική έρευνα στη CircleCi, στις 16 Δεκεμβρίου διαπιστώθηκε πως ένας μηχανικός είχε μολυνθεί με ένα info-stealing malware. Σκοπός του malware ήταν να κλέψει ένα εταιρικό session cookie, το οποίο είχε ήδη περάσει 2FA πιστοποίηση και έτσι δεν χρειαζόταν από τον χάκερ να κάνει ξανά authenticate τα κλεμμένα credentials του.
Λίγες μέρες μετά, 22 Δεκεμβρίου, ο χάκερ ξεκίνησε να κλέβει πληροφορίες από βάσεις δεδομένων και αποθηκευτικούς χώρους της εταιρείας CircleCi, όπου σύμφωνα με τα λεγόμενα τους περιλαμβάνονταν μεταβλητές περιβάλλοντος, tokens και κλειδία.
Παρόλο που η CircleCi πρόλαβε και κρυπτογράφησε τα δεδομένα της, ο χάκερ έκλεψε επίσης τα encryption keys, επιτρέποντας του να τα αποκρυπτογραφήσει.
Με την ανακάλυψη της κλοπής δεδομένων, η εταιρεία άρχισε να ειδοποιεί τους πελάτες μέσω email, προτρέποντάς τους να αλλάξουν όλα τα tokens και τα «μυστικά» τους, εάν είχαν συνδεθεί μεταξύ της 21ης Δεκεμβρίου 2022 και της 4ης Ιανουαρίου 2023.
Η απάντηση από τη εταιρεία ήρθε με μια ανακοίνωση που ενημέρωσε για την αλλαγή όλων των token που σχετίζονται με τους πελάτες της – σε αυτά συμπεριλαμβανόντουσαν τα Project και Personal Api tokens καθώς και το GitHub OAuth.
Σε συνεργασία με τις εταιρείες Atlassian και AWS, ενημέρωσε τους πελάτες για πιθανή παραβίαση των Bitbucket και AWS tokens.
Η CircleCi ανακοίνωσε επίσης, την προσθήκη περισσότερων ελέγχων για τέτοιου είδους συμπεριφορές – όπως έδειξε το info-stealing malware, τόσο στο antivirus, όσο και στο MDM (mobile device management) σύστημα.
Περιόρισαν την πρόσβαση στα περιβάλλοντα παραγωγής τους σε μια μικρότερη ομάδα ατόμων και βελτίωσαν την ασφάλεια της εφαρμογής 2FA.
Δείτε επίσης: Χάκερ εκμεταλλεύονται κρίσιμο σφάλμα Cacti για να εγκαταστήσουν malware
Υπό «επίθεση» ο έλεγχος ταυτότητας πολλών παραγόντων (MFA)
Η έκθεση της CircleCi υπογραμμίζει την αυξανόμενη τάση των απειλητικών παραγόντων που στοχεύουν στον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA).
Οι επιτιθέμενοι συχνά χρησιμοποιούν μεθόδους όπως info-stealing malware ή επιθέσεις phishing για να αποκτήσουν εταιρικά credentials. Ως εκ τούτου, πολλές εταιρείες έχουν εφαρμόσει MFA για να διασφαλίσουν την πρόσβαση στα εταιρικά συστήματα, ακόμη και σε περίπτωση κλοπής διαπιστευτηρίων.
Ωστόσο, καθώς η χρήση της MFA γίνεται όλο και πιο διαδεδομένη, οι χάκερ έχουν αρχίσει να προσαρμόζουν τις τακτικές, όπως για παράδειγμα κλέβοντας session cookies που έχουν ήδη πιστοποιηθεί με 2FA.
Τέτοιου είδους επιθέσεις, έχουν αποδειχθεί πολύ αποτελεσματικές στη «διείσδυση» μεγάλων εταιρικών δικτύων. Αυτό φάνηκε και στις πρόσφατες κυβερνοεπιθέσεις εναντίον της, Microsoft, Cisco, Uber και CircleCi.
Όσο σημαντική είναι η MFA εφαρμογή, άλλο τόσο είναι και από τις ίδιες τις πλατφόρμες να μπορούν να ανιχνεύσουν αν ένα session cookie χρησιμοποιείτε σε μια νέα τοποθεσία – έτσι ώστε να ζητάει επιπρόσθετη επικύρωση.
Να σημειώσουμε ότι και οι δύο εταιρείες, Microsoft και Duo Security συνιστούν στους administrators να ενεργοποιήσουν τις τελευταίες λειτουργείες, όπως το MFA number matching, γνωστό και ως Verifed Push in Duo για να αποφύγουν τέτοιου είδους επιθέσεις.
Πηγή πληροφοριών: bleepingcomputer.com