Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident
2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて 2FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。
CircleCI の CEO である Rob Zuber は、「マルウェアはセッション・クッキーを盗み出し、リモートの従業員になりすまし、当社のプロダクション・システムのサブセットにアクセスを拡大させていった」と、インシデント・レポートで述べている。
このセキュリティ上の問題を、さらに分析した結果、対象となる従業員に与えられた高権限を、未承認の第三者が悪用し、データベースのサブセットからデータを盗み出したことが判明した。そこには、顧客の環境変数/トークン/キーが含まれていた。
この脅威アクターは、2022年12月19日に偵察活動を行い、その後の 2022年12月22日にデータ流出を実行したと考えられている。
Zuber は、「流出したデータは、すべて静止状態で暗号化されていたが、第三者は実行中のプロセスから暗号化キーを抽出し、暗号化データにアクセスした可能性がある」と述べている。
2022年12月29日に、顧客の1社から CircleCI に対して、GitHub OAuth における疑わしい活動について警告があった。その結果として、顧客による、すべてのシークレットのローテーションが必要となり、その作業を促してから1週間余りで、この事態が発生した。
顧客の OAuth トークンが漏洩したことを知った同社は、すべての GitHub OAuth トークンのローテーションを積極的に進める措置を取ったと述べている。Atlassian と協力して、すべての Bitbucket トークンをローテーションし、Project API Token と Personal API Token を失効させ、潜在的に影響を受ける AWS トークンについて顧客に通知したと付け加えている。
CircleCI は、プロダクション環境へのアクセスを制限するほか、認証情報が盗まれた場合であっても、不正なアクセスが阻止されるようにするために、より多くの認証ガードレールを組み込んだという。
さらに、このような攻撃の再発を抑止するために、すべての顧客に対して定期的な OAuth トークンの自動ローテーションを実施し、ユーザーが [最新かつ最高のセキュリティ機能を採用] するための、オプションを導入する予定だという。
CI/CD (Continuous Integration / Continuous Delivery) サービスを提供する CircleCI が、攻撃者にとって魅力的な標的となっています。この記事がポストされた 2023/01/14 には、CircleCI/LastPass/Okta/Slack が狙われる:ID 管理と開発環境がサプライチェーン攻防の要だという記事もありました。このあたりが、2023年に注目される攻撃ベクターとなりそうです。
IoT OT Security News 
You must be logged in to post a comment.