Estás leyendo la publicación: Los piratas informáticos violan los sistemas de CircleCi a través del SSO infectado respaldado por 2FA de un ingeniero
CircleCi, una popular plataforma CI/CD (Integración Continua y Desarrollo Continuo) utilizada para prácticas DevOps, reveló que sufrió un explotación de seguridad.
En diciembre del año pasado, un ingeniero de CircleCi se infectó con malware de robo de información, que los piratas informáticos utilizaron para violar su cookie de sesión SSO respaldada por 2FA, lo que permitió a los atacantes acceder a los sistemas internos de CircleCi.
A informe publicado por CircleCi, la plataforma CI/CD menciona que se enteraron del exploit de seguridad después de que un cliente informara que su código GitHub OAuth había sido comprometido. ¡Este incidente llevó a que la empresa girara automáticamente los códigos de autenticación de GitHub de sus clientes!
El malware de robo de información robó la cookie de sesión corporativa, que ya había sido autenticada mediante 2FA, lo que permitió a los atacantes iniciar sesión como usuarios sin tener que autenticarlos.
Además, el malware pudo ejecutar el robo de cookies de sesión, lo que permitió a los piratas informáticos hacerse pasar por el empleado al que apuntaban en una ubicación remota y luego amplificar el acceso a la subred de los sistemas de producción.
Entonces, los atacantes comenzaron a robar datos de la base de datos y los almacenes de la empresa, que incluyen claves, tokens y variables de entorno del cliente, utilizando la autorización del ingeniero.
Aunque CircleCi había cifrado los datos, los atacantes también robaron las claves cifradas introduciéndolas en el proceso en ejecución, lo que posiblemente les permitió descifrar los datos cifrados que fueron robados.
Tan pronto como la empresa se enteró de la violación de seguridad, envió un correo electrónico a los clientes notificándoles que giraran todos sus tokens y secretos si iniciaban sesión después del 21 de diciembre.
CircleCi notifica a su cliente sobre el incidente de seguridadLa compañía menciona que ya han generado todos los tokens que pertenecen a sus clientes, que incluyen GitHub OAuth, tokens de API personal y tokens de API de proyecto. Además de esto, CircleCi también trabajó con AWS y Atlassian para informar a los clientes sobre tokens Bitbucket y tokens AWS probablemente comprometidos.
Para evitar que ocurran incidentes como estos, la compañía reforzó su infraestructura agregando más detección del comportamiento mostrado por el malware de robo de información al antivirus y a la administración de dispositivos móviles que utilizan.
Además, la empresa ha reducido aún más el acceso a su entorno de producción a un número menor de personas y, al mismo tiempo, ha aumentado la seguridad de la implementación de 2FA.
Ahora, todos estos ataques a las empresas son simplemente ejemplos del aumento de los objetivos de los atacantes en la autenticación multifactor implementada por las empresas, ya sea mediante ataques de phishing o malware de robo de información.
Como sabemos, las empresas implementan MFA para evitar cualquier acceso no autorizado a su sistema. Sin embargo, con el mayor uso de MFA, los atacantes también han evolucionado y están utilizando tácticas como robar cookies de sesión que ya están autenticadas por MFA Fatigue en el MFA implementado por estas empresas.
Es muy importante que las empresas configuren estas plataformas correctamente para que puedan detectar cuándo se utiliza la cookie de sesión desde una ubicación remota y luego solicitar acceso adicional a MFA.
Leer: 6 paquetes PyPi maliciosos que instalan malware RAT a través del túnel Cloudflare
