エンジニアが情報を盗むマルウェアに感染した後、12 月にハッカーが CircleCi に侵入し、2FA でサポートされた SSO セッション Cookie が会社の内部システムへのアクセスを可能にしました。
今月初め、CircleCi はセキュリティ インシデントに見舞われたことを明らかにし、トークンとシークレットをローテーションするよう顧客に警告しました。
攻撃に関する新しいセキュリティ インシデント レポートで、CircleCi は、顧客が GitHub OAuth トークンが侵害されたと報告した後、最初にシステムへの不正アクセスを知ったと述べています。
この侵害により、CircleCi は顧客のために GitHub OAuth トークンを自動的にローテーションしました。
1月4日、社内調査の結果、12月16日に同社のウイルス対策ソフトでは検出されなかった情報窃取型マルウェアにエンジニアが感染したことが判明した。
このマルウェアは、2FA で認証済みの企業セッション Cookie を盗むことができ、攻撃者は 2FA で再度認証することなくユーザーとしてログインできました。
CircleCi の新しいインシデント レポートでは、「調査の結果、マルウェアがセッション Cookie の盗難を実行し、標的の従業員になりすまして遠隔地にいることを確認し、本番システムのサブセットへのアクセスをエスカレートできたことが示されました」と説明しています。
エンジニアの特権を利用して、ハッカーは 12 月 22 日に同社のデータベースやストアの一部から、顧客の環境変数、トークン、キーなどのデータを盗み始めた、と CircleCi は述べています。
CircleCi は保管中のデータを暗号化しましたが、ハッカーは実行中のプロセスから暗号化キーをダンプして盗み、攻撃者が暗号化されて盗まれたデータを解読できる可能性がありました。
データの盗難を知った後、同社は電子メールで顧客にインシデントについて警告し始め、2022 年 12 月 21 日から 2023 年 1 月 4 日の間にログインした場合、すべてのトークンとシークレットをローテーションするよう警告しました。
攻撃を受けて、CircleCi は、プロジェクト API トークン、パーソナル API トークン、GitHub OAuth トークンなど、顧客に関連付けられたすべてのトークンをローテーションしたと述べています。同社はまた、Atlassian および AWS と協力して、侵害された可能性のある Bitbucket トークンと AWS トークンを顧客に通知しました。
インフラストラクチャをさらに強化するために、CircleCi は、情報を盗むマルウェアによって示される動作のさらなる検出を、ウイルス対策およびモバイル デバイス管理 (MDM) システムに追加したと述べています。
同社はまた、本番環境へのアクセスを少数のユーザーにさらに制限し、2FA 実装のセキュリティを強化しました。
攻撃を受ける MFA
CircleCi のインシデント レポートは、攻撃者による多要素認証の標的の増加を示すもう 1 つの例です。
情報を盗むマルウェアやフィッシング攻撃など、攻撃者は通常、企業の認証情報を探します。
このため、企業は、資格情報が盗まれた場合でも企業システムへのアクセスを防止するために MFA をますます採用しています。
ただし、この採用の増加に伴い、攻撃者は、MFA に対して既に認証されたセッション Cookie を盗んだり、 MFA 疲労攻撃を使用したりするなど、MFA をバイパスする戦術を進化させています。
これらの攻撃は、 Microsoft 、 Cisco 、 Uber 、そして現在は CircleCi に対する最近のサイバー攻撃を含め、大規模な企業ネットワークの侵害に非常に成功していることが証明されています。
MFA を使用することは依然として重要ですが、これらのプラットフォームを適切に構成して、新しい場所でセッション cookie が使用されたことを検出し、さらに MFA 検証を要求することも同様に重要です。
さらに、Microsoft と Duo は、盗まれた資格情報を使用したログインから保護するために、 MFA 番号照合(Duo の検証済みプッシュとも呼ばれます) などの新しい機能を有効にするよう管理者にアドバイスしています。
Comments