CircleCI用户必看:三步提升云安全

这个技术提示概述了企业防御者应该采取的步骤,以保护他们在云环境中的数据,以应对CI/CD平台的安全事件。
CircleCI用户必看:三步提升云安全

随着 CircleCI 继续调查影响其持续集成和持续交付 (CI/CD) 平台的安全事件,企业防御者也应该在与 CircleCI 集成的第三方应用程序上寻找恶意活动的迹象。

在 1 月 4 日的披露中,CircleCI 敦促用户旋转存储在平台内的所有密钥,并从 2022 年 12 月 21 日开始检查内部日志,以寻找任何“未经授权访问”的迹象。由于企业集成了软件即服务 (SaaS) 应用程序和其他云提供商,防御者也应该在这些环境上寻找恶意行为的迹象。

步骤1:更改密码

第一步是更改所有密码、密钥、访问令牌、环境变量和公私钥对,因为攻击者可能已经窃取了它们。当组织将CircleCI与其他SaaS和云提供商集成时,它们会向CircleCI提供这些身份验证令牌和密钥。CircleCI的漏洞意味着该平台本身受到了威胁,与CircleCI集成的所有SaaS平台和云提供商也受到威胁,因为这些凭据现在已经暴露。

CircleCI提供了一个名为CircleCI-Env-Inspector的脚本,用于导出需要更改的CI密钥的名称的JSON格式列表。该列表不包含密钥的实际值,CircleCI表示。

要运行此脚本,请克隆存储库并执行run.sh文件。

在随后的更新中,CircleCI表示已经失效了项目API令牌,并代表客户轮换了所有GitHub OAuth令牌。亚马逊网络服务通过电子邮件通知客户受到潜在影响的令牌列表(主题为:[需要操作] CircleCI安全警报以轮换访问密钥),客户应该更改这些令牌。

对于使用TruffleHog的组织,日志扫描功能会输出可能被意外记录的任何密码或API密钥。使用以下标志运行TruffleHog:

trufflehog circleci --token=<token>

步骤2:检查CircleCI是否存在可疑活动


CircleCI已经通过平台的用户界面向所有客户提供了自助审计日志,包括免费客户。客户可以查询最多30天的数据,并有30天的时间下载生成的日志。CircleCI的文档详细说明了如何使用这些日志。

这些日志提供了有关采取的行动、执行者、目标和时间的信息,根据Mitiga的威胁猎杀指南。查找日志条目,指示在2022年12月21日至秘密更改和更新之间,由CircleCI用户采取的行动。攻击者可能感兴趣的行动包括获取访问权限(user.logged_in)和维持持久性(project.ssh_key.create、project.api_token.create、user.create)。

步骤3:在第三方应用程序中搜索恶意行为者


第三步:在第三方应用中搜寻恶意行为者

此次违规事件的影响不仅仅局限于CircleCI,还包括与该开发平台集成的第三方应用程序,如GitHub、Amazon Web Services (AWS)、Google Cloud Platform (GCP)和Microsoft Azure。企业防御者需要在每个集成的SaaS应用程序和云服务提供商中搜寻恶意活动的迹象。

对于GitHub:CircleCI通过PAT、SSH密钥或本地生成的私钥和公钥对GitHub进行身份验证。根据Mitiga的威胁狩猎指南,防御者应检查GitHub安全日志,寻找源自CircleCI用户的可疑GitHub活动,例如git.clone(复制存储库)、git.fetch和git.pull(从存储库中提取代码的不同方式)。GitHub审计日志提供了有关执行的操作、执行操作的人员以及执行操作的时间的信息。检查包含actor_location的GitHub审计日志,并查找源自新IP地址的异常连接和操作。

对于AWS:查看AWS CloudTrail的管理活动日志中的API管理事件操作。搜索CircleCI用户不应执行的事件,例如可疑的侦察行动(例如ListBuckets GetCallerIdentitiy)、AccessDenied事件以及源自未知IP地址和编程UserAgents(例如boto3和CURL)的活动。

对于GCP:通过Google Cloud控制台(日志资源管理器)、Google Cloud CLI或Logging API查看云审计日志-管理活动审计日志、数据访问审计日志和策略拒绝审计日志。检查CircleCI使用的服务帐户具有权限的资源。

API调用:

searchAllIamPolicies
从命令行:

gcloud asset search-all-iam-policies
根据Mitiga在其指南中的建议,搜寻异常,例如错误的严重性记录、奇怪的时间戳或不寻常的IP子网。

对于Azure:在Azure Active Directory登录日志中查看登录错误和模式,并检查异常,例如登录的日期和源IP地址。Azure Monitor活动日志是Azure中提供有关订阅级事件的平台日志,例如何时修改资源或启动虚拟机。在此日志中要查找的一件事是是否列出了与服务帐户通常执行的操作不同的操作。

Mitiga团队在指南中写道:“在您的组织中搜寻受损的CI/CD工具执行的恶意操作并不是一件简单的事情,因为它们的范围超出了CI/CD工具本身,还涉及其他与其集成的SaaS平台。”

推荐阅读:

ShinyHunters在暗网上出售窃取的数据

Zoom Zoom:恶意勒索软件“暗网力量”在不到一个月内勒索了10个目标

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20