IT-Connect » Actualités » Actu Cybersécurité » Le piratage de CircleCI est lié au vol d’un cookie de session par un malware !

CircleCI - Un malware à l'origine du piratage 2022
Actu Cybersécurité 

Le piratage de CircleCI est lié au vol d’un cookie de session par un malware !

Florian BURNEL 730 Views Aucun commentaire , 1 min read

Fin décembre 2022, CircleCI a subi une cyberattaque lors de laquelle les cybercriminels ont pu accès accéder aux systèmes internes de l'entreprise. Désormais, nous connaissons l'origine de cette attaque !

Pour rappel, CircleCI est une plateforme d'intégration continue et de livraison continue très appréciée puisqu'elle compte plus d'un million d'utilisateurs dans le monde.

Début janvier, CircleCI a mis en ligne un communiqué sur son site Internet afin d'évoquer cette cyberattaque. Communiqué au sein duquel Rob Zuber, le CTO de CircleCI, invitait les utilisateurs à régénérer les secrets stockés sur la plateforme CircleCI, par précaution : "Faites tourner immédiatement tous les secrets stockés dans CircleCI."

Il y a quelques jours, ce communiqué a été mis à jour, ce qui permet d'en apprendre plus sur l'origine de cette attaque : l'ordinateur d'un ingénieur a été infecté par un malware qui a volé des informations au sein de cookies de session, lui permettant de s'authentifier sur les systèmes internes de CircleCI malgré la présence du MFA. Puisque le cookie de session est obtenu après avoir indiqué le mot de passe et validé le second facteur d'authentification, il permet d'accéder directement aux systèmes sans réauthentification. Non détecté par l'antivirus de l'entreprise, ce malware a infecté l'ordinateur de l'employé le 16 décembre 2022.

En utilisant les privilèges de cet utilisateur, les pirates ont pu commencer à voler des données à partir du 22 décembre, notamment au sein de certaines bases de données et de stores de CircleCI, notamment des jetons et clés de clients. Même si les données sont chiffrées, les cybercriminels sont parvenus à extraire les clés de chiffrement, ce qui peut leur permettre de déchiffrer les données dérobées !

Ces dernières informations ne sont pas rassurantes... Et montre que le MFA, bien qu'il soit pertinent et recommandé, n'est pas infaillible que ce soit au travers du vol de cookies ou en utilisant la technique de fatigue MFA. Si vous utilisez CircleCI, il est impératif de renouveler tous vos secrets et jetons !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5579.Voir tous les posts

Vous pourrez aussi aimer

Amazon Kindle : Une faille découverte mais corrigée !

Florian BURNEL 0
Sites WordPress - LiteSpeed Cache - Faille de sécurité CVE-2023-40000

WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites !

Florian BURNEL 0
GoAnywhere MFT - Faille 0-Day - 2023

Les serveurs GoAnywhere MFT à la merci d’une faille zero-day !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.