Verwenden Sie CircleCI? Hier sind 3 Schritte, die Sie unternehmen sollen

Während CircleCI den Sicherheitsvorfall weiter untersucht, dieser seine Plattform zum Besten von kontinuierliche Integration und kontinuierliche Versorgung (CI/CD) betrifft, sollten Unternehmensverteidiger Neben… nachdem Hinweis böswilliger Aktivitäten in Anwendungen von Drittanbietern suchen, die in CircleCI integriert sind.

In seiner Offenlegung vom 4. Januar forderte CircleCI die Benutzer hinaus, jedweder hinaus dieser Plattform gespeicherten Geheimnisse zu rotieren und ab dem 21. Monat der Wintersonnenwende 2022 interne Protokolle hinaus Hinweis von „unbefugtem Zugriff“ zu nachsehen. Da Unternehmen Software-as-a-Tafelgeschirr ( SaaS)-Anwendungen und anderen Cloud-Anbietern sollten Verteidiger Neben… in diesen Umgebungen nachdem Hinweis zum Besten von böswilliges Verhalten suchen.

Schritttempo 1: Geheimnisse ändern

Jener erste Schritttempo besteht darin, jedweder Passwörter, Geheimnisse, Zugriffstoken, Umgebungsvariablen und öffentlich-privaten Schlüsselpaare zu ändern, da die Angreifer sie unter Umständen gestohlen nach sich ziehen. Wenn Organisationen CircleCI mit anderen SaaS- und Cloud-Anbietern integrieren, stellen sie CircleCI selbige Authentifizierungstoken und Geheimnisse zur Verfügung. Jener Bruchteil mit CircleCI bedeutet, dass die Plattform selbst kompromittiert wird, sowohl …. als auch jedweder SaaS-Plattformen und Cloud-Provider, die in CircleCI integriert sind, da selbige Anmeldeinformationen jetzt offengelegt werden.

CircleCI bietet ein Skript CircleCI-Env-Inspector an, um eine JSON-formatierte verkettete Liste dieser Namen von CI-Secrets zu exportieren, die geändert werden sollen. Die verkettete Liste würde die Werte dieser Geheimnisse nicht enthalten, sagte CircleCI.

Um dieses Skript auszuführen, klonen Sie dies Repository und zur Folge haben Sie die run.sh File.

In späteren Aktualisierungen sagte CircleCI, dass es von Projekten verwendete Projekt-API-Token ungültig gemacht und jedweder GitHub-OAuth-Token im Namen von Kunden rotiert habe. Amazon Web Services benachrichtigt Kunden per elektronische Post mit Listen potenziell betroffener Token (Betreffzeile: [Action Required] CircleCI-Sicherheitswarnung zum Rotieren von Zugriffsschlüsseln.), die Kunden ändern sollten.

Z. Hd. Organisationen, die TruffleHog verwenden, gibt die Protokollscanfunktion jedweder Passwörter oder API-Schlüssel aus, die unter Umständen versehentlich protokolliert wurden. Zur Folge haben Sie TruffleHog mit den folgenden Flags aus:

trufflehog circleci –token=<token>

Schritttempo 2: Nachsehen Sie CircleCI hinaus verdächtige Aktivitäten

CircleCI hat allen Kunden, einschließlich kostenlosen Kunden, droben die Benutzeroberfläche dieser Plattform Self-Tafelgeschirr-Betriebsprüfung-Protokolle zur Verfügung gestellt. Kunden können Datenansammlung von solange bis zu 30 Tagen auslesen und nach sich ziehen 30 Tage Zeit, um die resultierenden Protokolle herunterzuladen. Die Dokumentation von CircleCI beschreibt, wie die Protokolle verwendet werden.

Laut einem Threat Hunting Guide von Mitiga liefern die Protokolle Informationen droben Aktionen, die von welchem ​​Mime, an welchem ​​Ziel und zu welcher Zeit durchgeführt wurden. Suchen Sie nachdem Protokolleinträgen, die Aktionen angeben, die von einem CircleCI-Benutzer in dieser Zeit zwischen dem 21. Monat der Wintersonnenwende 2022 und dieser Umbruch und Aktualisierung dieser Geheimnisse durchgeführt wurden. Aktionen, an denen Angreifer wissensdurstig sein könnten, sind diejenigen, um sich Zugang zu verschaffen (user.logged_in) und Durchhaltevermögen (project.ssh_key.create, project.api_token.create, user.create).

Schritttempo 3: Suchen Sie nachdem böswilligen Akteuren in Apps von Drittanbietern

Die Auswirkungen des Verstoßes möglich sein droben CircleCI hinaus, da er Anwendungen von Drittanbietern umfasst, die in die Entwicklungsplattform integriert sind, wie GitHub, Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure. Unternehmensverteidiger sollen c/o allen integrierten SaaS-Anwendungen und Cloud-Anbietern nachdem Hinweis böswilliger Aktivitäten suchen.

Z. Hd. GitHub: CircleCI authentifiziert sich c/o GitHub droben PAT, verknüpfen SSH-Schlüssel oder lokal generierte private und öffentliche Schlüssel. Verteidiger sollten dies GitHub-Sicherheitsprotokoll hinaus verdächtige GitHub-Aktivitäten nachsehen – wie z git.clone (Kopieren des Repositorys), git.fetch und git.pull (verschiedene Arten, den Kennung aus dem Repository zu holen) – laut Mitigas Threat Hunting Guide von CircleCI-Benutzern stammend. Die GitHub-Betriebsprüfung-Protokolle enthalten Informationen zu den durchgeführten Aktionen, wer die Handlung durchgeführt hat und zu welchem Zeitpunkt sie durchgeführt wurde. Nachsehen Sie die GitHub-Betriebsprüfung-Protokolle, die enthalten actor_location und suchen Sie nachdem anormalen Verbindungen und Vorgängen, die von neuen IP-Adressen stammen.

Z. Hd. AWS: Sehen Sie sich die Aktionen dieser API-Verwaltungsereignisse in den Verwaltungsaktivitätsprotokollen von AWS CloudTrail an. Suchen Sie nachdem Ereignissen, die dieser CircleCI-Benutzer nicht realisieren sollte, wie z. B. verdächtige Aufklärungsaktionen (z. B. ListBuckets GetCallerIdentitiy), Zugriff abgelehnt Ereignisse und Aktivitäten, die von unbekannten IP-Adressen und programmatischen UserAgents (wie z boto3 und LOCKE).

Z. Hd. GCP: Prüfen Sie Cloud-Betriebsprüfung-Logs – Betriebsprüfung-Logs zum Besten von Administratoraktivitäten, Betriebsprüfung-Logs zum Besten von den Datenzugriff und Betriebsprüfung-Logs zum Besten von abgelehnte Richtlinien – droben die Google Cloud-Stützbalken (Logs Explorer), die Google Cloud-Befehlszeilenschnittstelle oder die Logging-API. Nachsehen Sie, welche Ressourcen dies mit CircleCI verwendete Dienstkonto droben Berechtigungen verfügt.

Jener API-Delegation:

searchAllIamPolicies

Von dieser Befehlszeile:

gcloud asset search-all-iam-policies

Suchen Sie nachdem Anomalien, wie z. B. einem Fehlerschwereeintrag, seltsamen Zeitstempeln oder ungewöhnlichen IP-Subnetzen, empfiehlt Mitiga in seinem Leitfaden.

Z. Hd. Azure: Nachsehen Sie Anmeldefehler und -muster in Azure Active Directory-Anmeldeprotokollen, und suchen Sie nachdem Anomalien, z. B. dem Zeitangabe dieser Eintragung und dieser Wurzel-IP-Schreiben. Dies Azure Monitor-Aktivitätsprotokoll ist ein Plattformprotokoll in Azure, dies Informationen zu Ereignissen hinaus Abonnementebene bereitstellt, z. B. wenn eine Ressource geändert oder ein virtueller Computer gestartet wird. Respektieren Sie in diesem Protokoll darauf, ob Aktionen aufgeführt sind, die sich von denen unterscheiden, die dies Dienstkonto normalerweise ausführt.

„Die Suche nachdem böswilligen Aktionen, die von kompromittierten CI/CD-Tools in Ihrem Unternehmen durchgeführt werden, ist nicht trivial, da ihr Umfang droben dieses CI/CD-Tool hinausgeht und andere darin integrierte SaaS-Plattformen betrifft“, schrieb dies Team von Mitiga in dem Leitfaden.