CircleCI : (encore) un piratage malgré le MFA

Comment contourner le MFA ? Par exemple, en volant un cookie de session. C’est ce qui est arrivé à CircleCI. L’éditeur américain en fait part dans un rapport relatif à l’incident qu’il avait signalé début janvier.

À l’origine, il y a la compromission de l’ordinateur portable d’un ingénieur. C’était le 16 décembre 2022. Un malware a permis de récupérer un cookie de session. Et ainsi d’usurper l’identité de cet employé… qui avait des droits sur certains systèmes de prod. Assez pour exfiltrer des éléments de plusieurs bases de données. Dont des clés, des tokens et des variables d’environnement contenant potentiellement des secrets.

Une phase de reconnaissance semble s’être déroulée le 19 décembre. Le 22, l’exfiltration a eu lieu. CircleCI affirme que c’est le dernier signe d’activité malveillante sur ses systèmes de prod.
Les données volées étaient chiffrées au repos. Mais l’attaque a permis d’extraire des clés de chiffrement depuis un processus en cours d’exécution…

CircleCI n’a reçu d’alerte que le 29 décembre, de la part d’un client. Celui-ci avait détecté une activité OAuth suspecte sur son compte GitHub. Là s’est enclenchée, côté CircleCI, une procédure de rotation des tokens OAuth de tous les clients. Elle a pris du temps, reconnaît l’éditeur (plus d’une semaine en l’occurrence), la faute aux limites de l’API GitHub.

CircleCI a également travaillé avec Atlassian, qui a révoqué tous les tokens OAuth pour BitBucket. Ils se rafraîchissent automatiquement à la première connexion, mais les utilisateurs devront penser, si ce n’est déjà fait, à changer leurs tokens SSH.

L’éditeur a par ailleurs invalidé ses propre jetons d’API (personnels et au niveau des projets). Pour faciliter la rotation des secrets, il propose un script destiné à lister toutes les variables d’environnement.

CircleCI privilégie les applications GitHub à OAuth

CircleCI a aussi fait évoluer son API. Notamment en ajoutant un champ updated_at au niveau des contextes. Il permet de contrôler que la rotation des variables dans ces conteneurs a réussi.

Il est prévu de mettre en place plusieurs mesures complémentaires. Entre autres, une rotation périodique automatisée des tokens OAuth pour tous les clients. Mais aussi la transition d’OAuth vers les apps GitHub, afin de bénéficier de permissions plus fines. Il est également question de mettre en place un système de notification de secrets non utilisés.

Quelques indicateurs de compromission (IP, VPN, fichiers malveillants…) viennent compléter ces promesses. Ainsi que diverses recommandations, comme :

– Préférer, autant que possible, les tokens OIDC aux credentials stockés dans CircleCI
– Utiliser les plages d’IP pour limiter les connexions entrantes sur vos systèmes
– Employer les contextes pour consolider les secrets partagés et restreindre leur accès à des projets spécifiques

En complément sur le sujet :

– Le MFA déjoué par smishing : 0ktapus fait un strike (août 2022)
Une campagne de phishing par SMS destinée à récupérer des identifiants SSO et des codes MFA a fait des victimes telles que Mailchimp, Signal et Twilio.

– Les chevaux de Troie s’adaptent aussi au MFA (mars 2022)
Une variante du trojan bancaire Aberebot a émergé. Elle est capable d’intercepter des codes MFA sur Google Authenticator.

– Phishing et MFA : comment l’un s’adapte à l’autre (février 2022)
Des chercheurs attirent l’attention sur les sites de phishing « nouvelle génération »… et sur leurs travaux pour en automatiser la détection.

Illustration principale © thodonal – Adobe Stock