CircleCI 安全事故警示：用户需立即更换所有秘密信息

关键要点

CircleCI 发布公告，建议所有用户立即更换所有存储在 CircleCI 中的秘密信息，以应对安全事件。尽管目前相信系统中没有未授权访问者，但仍建议用户采取预防措施保护数据。CircleCI 已禁用使用的 API 令牌，用户需要替换它们。公司建议使用 OIDC 令牌提升安全性，并利用 IP 范围和上下文限制访问。

CircleCI 是一家拥有超过一百万用户的开发工具提供商，近期由于系统遭受安全入侵，强烈建议客户立即更换所有秘密信息。该公司于 2023 年 1 月 5 日发布的公告表明，他们正在调查此安全事件，迹象显示入侵发生在 2022 年 12 月 21 日，并在假期期间未被发现。

CircleCI 首席技术官 Rob Zuber 在公告中指出：“我们希望让您知道，我们正在调查一起安全事件，目前调查仍在进行中。根据现有的信息，我们相信我们的系统中没有未授权的访问者。但为了谨慎起见，我们希望确保所有客户采取必要的预防措施以保护您的数据。”

具体来说，CircleCI 强烈建议用户更换“任何和所有”存储在 CircleCI 中的秘密信息，包括存储在项目环境变量或上下文中的信息。用户还被建议“检查自 2022 年 12 月 21 日至 2023 年 1 月 4 日的内部日志，以寻找任何未经授权的访问”。

此外，CircleCI 已无效化使用的 API 令牌，用户需要替换它们。CircleCI 在 1 月 5 日的最新更新中强调，公司已经消除了导致此次事件的风险，并提供了详细说明指导用户如何更换秘密信息。

公司还建议用户尽可能使用 OIDC 令牌来提高管道安全性，以避免 CircleCI 中存在长久的凭证。用户还被建议利用 IP 范围来限制对系统的入站连接，仅允许已知 IP 地址访问，或采用上下文来激活跨项目共享环境变量，以便自动通过 API 更换秘密信息。

目前，CircleCI 尚未发布有关受影响客户数量和暴露系统的具体细节，SC Media 已联系他们寻求进一步的信息。

黑豹加速器

安全研究员 Daniel Hckmann 在1 月 4 日的 Twitter 帖子中表示，他正在调查一个在 12 月 27 日误用的 Thinkst Canary AWS 令牌，直到周三公告发布。此类令牌在 IT 网络中广泛部署，可以作为警报，提醒组织潜在的入侵或恶意活动。

Hckmann 还分享了用于访问存储在 CircleCI 中的 AWS 凭证的攻击者 IP 地址：54145167181。他指出：“搜索来自此 IP 的 cloudtrail 日志中的事件。我预计会有其他指标，但这是一个高保真度的线索。”

SC Media 已联系 Hckmann，寻求进一步细节。

尽管 CircleCI 声称系统中没有未授权的访问者，但此次事件的潜在影响可能相当显著，因为该公司拥有众多大型技术供应商，包括 PyTorch、HashiCorp 和 Snyk 等客户。

此外，Torq 的联合创始人及首席技术官 Leonid Belkind 告诉 SC Media，用户手动快速更换所有秘密信息可能会面临挑战。

“更换秘密信息意味需要禁用原系统上的凭证，然后发放新的具有相同权限的凭证，以保持管道正常运行，并在 CircleCI 中进行更新。确定组织中的哪个人可以并应当为每个凭证执行这些操作，并确保这些操作全部完成，这是一个巨大挑战，”Belkind 解释道。

事实上，今天早些时候，一位 CircleCI 用户在其在线讨论论坛中表达了担忧，认为在 CircleCI 中更换秘密信息的难度较大，寻求解决方案，但被一名员工