流行開發工具CircleCI曝出嚴重漏洞
責編:gltian |2023-01-06 16:39:43開發工具平臺CircleCI近日披露發生安全事件,并敦促用戶立刻輪換軟件項目中的所有“秘密”(存儲在項目環境中的敏感信息)。
CircleCI是一個非常流行的CI/CD持續集成開發平臺,號稱向超過一百萬軟件工程師用戶提供“快速可靠的”開發服務。
CircleCI“嘴硬”
在本周四發給CircleCI用戶的電子郵件通知(下圖)中,CircleCI承認正在調查安全事件,但確信“系統中并未發生未授權活動”。但是為了防患于未然,在調查結束前,CircleCI建議用戶“立刻輪換在CircleCI平臺中存儲的所有秘密”。
鑒于大多數重大數據泄露安全事件中,受害企業的最初癥狀都是“嘴硬”,安全專家認為用戶不可因為CircleCI聲稱“未發生未授權活動”而掉以輕心,建議CircleCI企業用戶立刻審核其內部日志,查找2022年12月21日至2023年1月4日期間發生的未授權訪問。
安全工程師Daniel Hückmann發推(下圖)披露了與攻擊相關的IP地址之一(54.145.167.181)。這些信息可能有助于事件響應人員調查其環境。
漏洞來自補丁
頗具諷刺意味的是,CircleCI披露的漏洞可能來自其“可靠性”更新。CircleCI在12月21日發布“可靠性更新”的同一天曝出漏洞。
2022年4月,CircleCI也曾發布過類似的“可靠性更新”,當時CircleCI承認其可靠性與用戶預期不符。
這些更新是在過去幾年CircleCI的一系列安全問題之后進行的。
事實上,過去幾年中CircleCI不斷曝光安全問題。2019年CircleCI發生第三方供應商被入侵導致的數據泄露,泄露的CircleCI用戶信息包括與用戶GitHub和Bitbucket帳戶關聯的用戶名和電子郵件地址、IP地址、組織名稱、存儲庫URL等。此后,黑客經常利用泄露的CircleCI用戶信息發起網絡釣魚攻擊。
聲明:本文來自GoUpSec