CI/CD平台CircleCI督促客户修改机密信息

admin 2023年1月7日12:54:30安全新闻评论2 views1524字阅读5分4秒阅读模式

CI/CD平台CircleCI督促客户修改机密信息 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



软件开发服务CircleCI 披露了一起安全事件,督促用户修改机密信息。


CircleCI是一个CI/CD平台,声称超过百万名工程师都依赖该服务获得build的“速度和可靠性”。


01
CircleCI提醒用户注意该事件


CircleCI 用户指出,CircleCI公司在邮件中表示目前正在调查一起安全事件,在公司调查完之前,督促用户修改所有存储在CircleCI中的机密信息。

CircleCI 公司的首席技术官 Rob Zuber 在周三发布的安全公告中提到,“我们将及时为您提供事件进展情况以及我们的响应行动。目前来看,我们确信系统中并未出现活跃的越权行动者;然而,谨慎起见,我们同时希望确保所有客户均采取一定的防御措施,保护自身数据安全。”

对于使用API令牌的项目,CircleCI验证了这些令牌,并要求用户替换。

安全研究员 Daniel Hückmann 发现了和攻击相关的一个IP地址 (54.145.167.181)。这一信息可能有助于事件响应人员调查其环境。另外,CircleCI 建议用户审计2022年12月21日至2023年1月4日期间,内部日志中是否存在越权访问情况。


02
泄露发生在CircleCI “可靠性”更新之后

颇具讽刺意味的是,这一建议说明CircleCI 公司在2022年12月21日遭攻陷,而在同一天它发布了“可靠性更新”,致力于提高其服务水平。

该公司曾在2022年4月开展了一系列类似的可靠性更新,当时该公司证实其可靠性未达用户预期。Zuber 当时表示,“CircleCI 的目标是管理变化,以便软件团队能够更快地进行创新。但最近我们了解到我们的可靠性并未达到客户预期。”2022年9月,CircleCI 公司在管道页面“在一天大部分时间”无法使用,影响很多团队管理工作负载的情况下,发布了另外一次更新。

这些更新发生在多年来CircleCI出现安全问题之后。

2019年年中,CircleCI 公司因一家第三方厂商攻陷事件数据遭泄露。结果导致用户数据遭攻陷,包括用户名、和用户GitHub和Bitbucket 账户相关联的邮件地址、IP地址、所在组织机构名称、仓库URL等。

2022年,威胁行动者通过虚假的CircleCI 邮件通知窃取GitHub账户。这些钓鱼尝试不一定源自新的攻陷事件,而当时该公司曾保证其自身是安全的。但是,威胁行动者通常会使用先前攻陷事件中获取的邮件地址,通过钓鱼骗局攻击目标企业的客户。

CircleCI 对此次事件造成的不便表达迁移,并计划在调查完成后及时共享更多详情。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

Slack 决定不修复可暴露用户身份的 XSLeak漏洞
这些严重的 Slack桌面劫持漏洞仅值区区1750美元?
Slack 开源安全开发生命周期工具
GitHub库中被遗落的Slack API凭证可导致企业被黑



原文链接

https://www.bleepingcomputer.com/news/security/circleci-warns-of-security-breach-rotate-your-secrets/


题图:Pexels License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




CI/CD平台CircleCI督促客户修改机密信息
CI/CD平台CircleCI督促客户修改机密信息

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   CI/CD平台CircleCI督促客户修改机密信息 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):CI/CD平台CircleCI督促客户修改机密信息

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日12:54:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  CI/CD平台CircleCI督促客户修改机密信息 http://cn-sec.com/archives/1504053.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: