Datadog rotates RPM signing key exposed in CircleCI hack
2023/01/16 BleepingComputer — クラウド・セキュリティ企業 Datadog の発表によると、先日に発生した CircleCI のセキュリティ侵害により、同社の RPM (Redhat Package Manager) における GPG (Gnu Privacy Guard) 署名キーの1つと、そのパスフレーズが流出したとのことだ。ただし同社は、この署名キーの流出/悪用については、現時点で証拠は見つかっていないと付け加えている。
Datadog は、「2023年1月16日の時点で、この署名キーの流出/悪用に関する形跡はないが、それでも慎重を期して、以下の対応をとっている」と述べている。
CircleCI のデータベースから、顧客の環境変数/トークン/鍵を盗んだと、脅威アクターが公表したことを受けて、Datadog がリリースしたのは、新しい鍵で署名したCentOS/RHEL 向け Agent 5 RPM の新バージョンである。
また、Datadog のリポジトリが・ファイルおよび RPM データベースから、影響を受けるキーを削除するための新しい Linux インストール・スクリプトも公開した。
Datadogのリポジトリは侵害されていない
Datadog は、「署名キーを盗むことに成功した攻撃者が、悪意の RPM パッケージを作成したとしても、公式パッケージ・リポジトリへのアクセス権が必要なため、それを用いることで、当社の顧客をターゲットにすることはできない」と付け加えている。
同社は、「Datadog の公式レポジトリは侵害されていない。署名キーが流出してしまうと、Datadog 社製を装う RPM パッケージの構築が可能になるが、そのようなパッケージを、当社の公式パッケージ・レポジトリに配置することは不可能だ。攻撃者が、影響を受けるキーを持ったとしても、構築された RPM パッケージを正規リポジトリにアップロードするための権限が必要になる」と述べている。
顧客に対して推奨されるのは、システムに影響を及ぼすキーを信頼しないようにすることだ。まだ、信頼している状況にある場合は、そのキーを削除し、また、ここで提供される手順を用いて、インストールされた全てのものが、Datadog により構築されたものであることを検証することだ。
この情報は、Datadog のドキュメント・ページの FAQ として公開しているが、同社における他の FAQ のようには記載されていない。
さらに BleepingComputer においては、Datadog のメタデータに『noindex』と『nofollow』タグが追加されているため、検索エンジンがインデックスを作らず、Web 上では見つけることができなかった。
Datadog の広報担当者は、今日の未明における BleepingComputer からの問い合わせに対して、直ちにコメントできなかった。
2023年1月13日 (金) に、CircleCI のエンジニアが所有するノート PC を介して、同社のシステムがマルウェアに感染し、侵害されたことを明らかになった後に、Datadog は公表したことになる。
CircleCI は1月上旬に、セキュリティ・インシデントが発生したことを公表し、すべての顧客に秘密鍵とトークンをローテーションするよう警告している。
先週に CircleCI は、攻撃者は、従業員の感染したデバイスから、2FA にサポートされた SSO セッション・クッキーが盗まれ、それを用いる攻撃社により、内部システムへのアクセスが行われ、顧客の秘密も盗まれたと発表している。
同社によると、すでに複数の顧客 (5人未満) が、サードパーティシ・ステムへの不正アクセスを発見したとし、2022年12月16日以降においても、顧客の環境における疑わしい活動の有無を調査するよう警告している。
Datadog と Kaseya で検索してみたら、TrustRadius というサイトに Datadog vs. Kaseya VSA という比較表がありました。おそらく、MSP が利用する監視ツールであり、顧客のクラウドを保護するために利用されているのでしょう。2021年7月に、Kaseya を起点とするサプライチェーン攻撃が生じましたが、大事に至らないと良いですね。
IoT OT Security News 
You must be logged in to post a comment.