CircleCI-Hack: 2FA-Zugangsdaten von Mitarbeiter ergaunert
Die Betreiber der Cloud-basierten Continuous-Integration-Plattform CircleCI haben ihren Bericht über den Sicherheitsvorfall veröffentlicht.
Angreifer konnten auf interne Systeme des Cloud-basierten Continuous-Integration-Plattform (CI) Betreibers CircleCI zugreifen. Aus einem Bericht zur Attacke geht nun hervor, wie die Angreifer sich Zugriff verschaffen konnten. Die Verantwortlichen versichern, dass ihre Systeme inzwischen wieder sauber seien.
Ablauf des Sicherheitsvorfalls
In seinem Sicherheitsbericht fĂĽhrt CircleCI aus, dass sich ein Mitarbeiter Malware auf seinem Computer eingefangen hat, die von der Anti-Viren-Software nicht erkannt wurde. Der Trojaner soll dann einen Session-Cookie inklusive gĂĽltiger Zwei-Faktor-Authentifizierung (2FA) kopiert und an die Angreifer weitergeleitet haben. Damit sollen sie sich dann aus der Ferne Zugriff auf die Systeme verschafft haben.
Mit den Rechten des Opfers ausgestattet, sollen die Angreifer Zugriff auf Datenbanken mit unter anderem Tokens von Kunden gehabt haben. Die Daten sollen verschlüsselt sein. Doch wie aus dem Bericht hervorgeht, sollen auch Schlüssel aus laufenden Prozessen extrahiert worden sein. So sei es vorstellbar, dass es Zugriffe auf die Daten gegeben hat. So könnten die Angreifer auf der Plattform gespeicherte Daten von Kunden zugegriffen haben. CircleCI gibt an, dass das bislang weniger als fünf Kunden an sie berichtet haben.
Conclusio
CircleCI gibt an, Projekt-API-Tokens (GitHub OAuth Token) nach Bekanntwerden des Vorfalls ungültig gemacht zu haben und betroffene Kunden benachrichtigt zu haben. Nutzer der Plattform sollten vorsichtshalber ihre Zugangsdaten ändern, um Fremdzugriffe vorzubeugen.
Um solche Vorfälle in Zukunft zu verhindern, will CircleCI unter anderem Anmeldeverfahren härten und weitere Malware-Erkennungsregeln aktivieren. Die Attacke wurde Anfang 2023 bekannt.
(des)