CircleCI Güvenlik Olayından Sonra Önerilen Sırlar Rotasyon

CircleCI Güvenlik Olayından Sonra Önerilen Sırlar Rotasyon



CicleCI’de yakın zamanda ifşa edilen güvenlik olayı, müşterilerin sistemlerinde saklanan sırları güncelleme konusunda sıkıntıya düşmesine neden oldu.

Şirket, 4 Ocak tarihli duyurusunda ve düzenli, müteakip güncellemelerde, CI/CD DevOps platformunun müşterilerinin – her türden belirteçler ve anahtarlar dahil olmak üzere – korunan verilerini güncellemeleri gerektiğini söyledi.

Ancak şirket, kullanıcılarına CircleCI ile uygulama geliştirmenin hala güvenli olduğu konusunda güvence verdi.

Ekiplerin tüm verileri takip etmesine yardımcı olacak araçları paylaşmanın yanı sıra potansiyel olarak etkilenen sırlar, CircleCI, olası ihlal belirteçlerine sahip olanları bilgilendirmek için AWS ile birlikte çalıştığını da duyurdu. CircleCI, şirketin GitHub ve Bitbucket 0Auth belirteçlerini de proaktif olarak güncellediğini söyledi. bildirildi.

CircleCI ayrıca müşterileri, sahte bir Hizmet Şartları güncellemesiyle kurbanları GitHub girişlerine girmeye ikna etmeye çalışan bir kimlik bilgisi toplama dolandırıcılığı konusunda uyardı.

CircleCI Güvenlik Olayı Fallout

CircleCI güvenlik olayının bildirilmesinin ardından Datadog’daki araştırmacılar, bir RPM GNU Privacy Guard (GPG) özel imzalama anahtarının ve parolasının da savunmasız olduğunu keşfetti. Datadog ekibi herhangi bir istismar kanıtı bulamamasına rağmen, RPM anahtarlarını güncellediler. Ekip ayrıca, sistemin etkilenen GPG anahtarına güvendiği RPM tabanlı bir Linux dağıtımı çalıştıranlar için önemli güncellemeler önerdi.

“İmza anahtarı gerçekten sızdırılırsa, Datadog’dan gelmiş gibi görünen bir RPM paketi oluşturmak için kullanılabilir, ancak böyle bir paketi resmi paket depolarımıza yerleştirmek yeterli olmaz.” Datadog açıkladı. “Etkilenen anahtara sahip varsayımsal bir saldırganın, oluşturulan RPM paketini sistem tarafından kullanılan bir havuza yükleyebilmesi gerekir.”

En son siber güvenlik tehditlerini, yeni keşfedilen güvenlik açıklarını, veri ihlali bilgilerini ve ortaya çıkan trendleri takip edin. Günlük veya haftalık olarak doğrudan e-posta gelen kutunuza teslim edilir.

Abone



siber-1