Cyberattaque

Le piratage de CircleCI a été causé par un logiciel malveillant qui a volé la session sécurisée par 2FA d’un ingénieur

Par Philippe Ternision , le 16 janvier 2023 , mis à jour le 16 janvier 2023 - 4 minutes de lecture
circleci
Notez l'article

Après qu’un ingénieur ait contracté un logiciel malveillant qui volait des données et utilisait le cookie de session SSO de CircleCi pour accéder aux systèmes internes de l’entreprise, des pirates ont pénétré dans l’entreprise en décembre.

Au début du mois, CircleCi a rappelé aux consommateurs de faire tourner leurs jetons et leurs secrets après avoir révélé une faille de sécurité.

Dans un nouveau rapport d’incident de sécurité sur l’agression, CircleCi affirme que ce n’est qu’après qu’un client se soit plaint que son jeton OAuth GitHub avait été détourné qu’ils ont découvert l’accès non autorisé à leurs systèmes.

En raison de cette compromission, CircleCi fait désormais tourner les jetons GitHub OAuth de ses clients de manière automatisée.

Le 4 janvier, une enquête interne a permis de conclure qu’un ingénieur avait été infecté par un logiciel malveillant de vol d’informations le 16 décembre, ce que le programme antivirus de l’entreprise avait manqué.

L’acteur de la menace a pu se connecter en tant qu’utilisateur sans avoir à s’authentifier à nouveau via 2FA, car le malware a pu récupérer un cookie de session de l’entreprise qui avait déjà été authentifié via 2FA.

Selon le rapport d’incident le plus récent de CircleCi, “Notre analyse suggère que le malware a pu effectuer un vol de cookie de session, ce qui lui a permis d’usurper l’identité de l’employé ciblé dans un lieu distant et d’escalader ensuite l’accès à une partie de nos systèmes de production.”

Le pirate aurait commencé à prendre des informations dans certaines bases de données et magasins de l’entreprise le 22 décembre en utilisant les droits d’accès de l’ingénieur, y compris les variables d’environnement, les jetons et les clés des clients.

L’acteur de la menace pourrait être en mesure de décrypter les données cryptées et volées si les clés de cryptage que le pirate a acquises à partir des processus d’exploitation étaient utilisées pour déverrouiller les données que CircleCi avait cryptées lorsqu’elles étaient au repos.

La société a commencé à notifier ses clients par e-mail de la situation dès qu’elle a eu connaissance de la perte de données, leur conseillant de faire tourner tous les tokens et secrets s’ils s’étaient connectés entre le 21 décembre 2022 et le 4 janvier 2023.

CircleCi affirme avoir changé tous les jetons liés aux clients, y compris les jetons API de projet, les jetons API personnels et les jetons OAuth de GitHub, en réaction à l’attaque. En outre, l’entreprise a collaboré avec Atlassian et AWS pour alerter les clients sur les tokens AWS et Bitbucket potentiellement piratés.

CircleCi affirme qu’afin de fortifier davantage son infrastructure, elle a augmenté le nombre de détections des actions entreprises par le malware voleur d’informations dans ses programmes antivirus et de gestion des appareils mobiles (MDM).

La société a également renforcé la sécurité de sa solution 2FA et limité l’accès à ses paramètres de production à un groupe restreint d’utilisateurs.

Le MFA attaqué

Le rapport d’incident de CircleCi est une autre illustration de la façon dont les acteurs de la menace se concentrent de plus en plus sur l’authentification multifactorielle.

Les acteurs de la menace cherchent souvent à obtenir des informations d’identification professionnelles par le biais d’attaques de phishing ou de logiciels malveillants voleurs d’informations.

Afin d’empêcher l’accès aux systèmes de l’entreprise même si les informations d’identification sont volées, l’organisation a de plus en plus adopté l’AMF.

Cependant, les acteurs de la menace développent des stratégies pour s’opposer à MFA en raison de sa popularité croissante. Il s’agit par exemple de voler des cookies de session qui ont déjà été validés par MFA ou d’utiliser des attaques de type “MFA Fatigue”.

Ces attaques, telles que les récentes cyberattaques contre Microsoft, Cisco, Uber, et maintenant CircleCi, ont démontré un grand succès en s’introduisant dans d’énormes réseaux d’entreprise.

Bien que l’AMF soit toujours essentielle, il est tout aussi crucial de configurer ces plates-formes de manière à ce qu’elles puissent reconnaître lorsqu’un cookie de session est utilisé à un nouvel endroit et exiger alors une validation AMF supplémentaire.

Afin d’empêcher les connexions à l’aide d’informations d’identification volées, Microsoft et Duo encouragent les administrateurs à activer des fonctionnalités plus récentes comme la correspondance des numéros MFA, également connue sous le nom de Verified Push dans Duo.

 

 

 

  • Laplink Software Download Laplink DiskImage Pro 10
    Protégez votre PC à l'aide d'une copie (image) parfaite de toutes vos applications, tous vos fichiers et tous vos réglages. Restaurez rapidement et facilement votre PC et récupérez les fichiers endommagés ou perdus en raison de systèmes corrompus, de virus, de pirates ou d'autres logiciels malveillants. DiskImage restaure même vers un PC possédant un matériel différent en utilisant la fonctionnalité Restaurer indépendamment du matériel. Vous ne vous contentez pas de protéger vos données; vous sécurisez l'ensemble de votre PC. Lorsque vous restaurez une image, la configuration de votre ancien PC est restaurée en même temps que les données, que ce soit sur le même PC ou sur un autre. DiskImage est la solution parfaite pour vous protéger contre les pertes de données imprévisibles. Laplink Software Download Laplink DiskImage Pro 10
  • Newfangled Audio EQuivocate
    Newfangled Audio EQuivocate, Plugin égaliseur - Téléchargement, Égaliseur 26 bandes, Convient pour les ingénieurs de mixage / mastering et les producteurs de musique, 26 filtres à phase linéaire modélisés d'après l'audition humaine, Fonction d'appariement des égaliseurs, Fonction dessiner une courbe, Fonction de sortie automatique, Fonction de bande solo, Interrupteur de comparaison, Affichage des filtres réglable individuellement, De nombreuses présélections d'artistes pour un démarrage rapide, 3 options de couleurs différentes
  • Symantec Endpoint Protection (v. 12.1) - version boîte + 1 Year Essential Support - 25 utilisateurs
    Protection contre les programmes malveillants tels que virus, vers, logiciels espions, chevaux de Troie, menaces de type "zero-day" et rootkitsPrévention des menaces de sécurité, ce qui réduit les coûts d'administrationRéduction du coût total de possession relatif à la sécurité des terminaux Symantec Endpoint Protection associe Symantec AntiVirus à des technologies avancées de prévention des menaces et de protection contre les programmes malveillants pour les portables, ordinateurs de bureau et serveurs.<br/>Il intègre en toute transparence des technologies de sécurité majeures dans un agent et une console de gestion uniques pour renforcer la protection et réduire le coût total de possession. - Offre exclusivement réservée aux professionnels
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.