CircleCI-Breach: RPM-GPG-Signierschlüssel und Passphrasen von Datadog betroffen
Januar 2023 von Kevin Bocek, VP of Security Strategy & Threat Intelligence, Venafi
Kaum startete das Jahr, fand ein weiterer Angriff auf die Software-Lieferkette statt. Nach der Berichterstattung bei Bleeping Computer ist klar: Diese Art der Bedrohung bleibt auch in 2023 ein Thema.
Der Angriff auf ein Entwickler-Tool und eine Lieferplattform wie CircleCI sollte offensichtlich unter dem Radar bleiben und vom Bedrohungsakteur in andere Entwicklungsumgebungen eingeschleust werden. In diesem Fall konnten sich die Angreifer Zugang zur Datadog-Umgebung verschaffen, was bedeutet, dass die Maschinenidentitäten der RPM-GPG-Signing Keys offengelegt wurden. Glücklicherweise hat Datadog schnell reagiert und die betroffenen Maschinenidentitäten rotiert, so dass es nicht den Anschein hat, dass sie missbraucht wurden. Als Reaktion auf die Enthüllung von CircleCI, dass der Bedrohungsakteur die Umgebungsvariablen, Token und Schlüssel aus den Datenbanken gestohlen hat, hat der Software-Hersteller eine neue Version des Agent 5 RPM für CentOS/RHEL veröffentlicht, die mit einem neuen Schlüssel signiert ist. Das Unternehmen hat außerdem ein neues Linux-Installationsskript veröffentlicht, das den betroffenen Schlüssel aus der Datadog-Repo-Datei und der RPM-Datenbank entfernt. Hätte jedoch ein Angreifer diese Gelegenheit genutzt, wäre ihm eine sehr mächtige Waffe in die Hand gegeben worden, die es ihm ermöglicht hätte, sich in den Kundennetzwerken von Datadog auszubreiten, indem er völlig vertrauenswürdig Malware signiert und versendet hätte. Dies hätte schwerwiegende Folgen haben können.
Dieser Vorfall zeigt das wachsende Risiko von Angriffen, die auf Entwickler, Maschinenidentitäten und moderne Entwicklungspipelines abzielen. In Kombination mit der Geschwindigkeit moderner Softwareentwicklung, dem weit verbreiteten Einsatz von Automatisierung und der Cloud-Nutzung kann ein Angreifer mit Zugang zu leistungsstarken Maschinenidentitäten unentdeckt viel Unheil anrichten. In einer maschinengesteuerten Welt ist eine Kontrollebene zur Verwaltung des Lebenszyklus von Maschinenidentitäten unerlässlich. Wie dieser Vorfall zeigt, kann man alles richtig machen und trotzdem angreifbar sein. Alle Unternehmen - ob Softwarehersteller oder -nutzer - müssen in der Lage sein, Kontrollen zu automatisieren, die festlegen, wem und was man vertrauen kann und wem nicht, und sie müssen flexibel auf Veränderungen reagieren können.