LastPass, bir tehdit aktörünün iki aydan uzun bir süre boyunca Amazon AWS bulut depolama sunucularına eriştiği ve bu sunuculardan verileri çaldığı “eşgüdümlü ikinci saldırı” hakkında daha fazla bilgi ortaya çıkardı.
LastPass, Aralık ayında tehdit aktörlerinin kısmen şifrelenmiş parola kasası verilerini ve müşteri bilgilerini çaldığı bir ihlali açıkladı.
Şirket, ağustos ayındaki bir ihlalde çalınan bilgileri, başka bir veri ihlalinden gelen bilgileri ve bir uzaktan kod yürütme güvenlik açığını üst düzey bir DevOps mühendisinin bilgisayarına keylogger yüklemek için kullandıklarını belirterek, tehdit aktörlerinin bu saldırıyı nasıl gerçekleştirdiğini şimdi açıkladı.
LastPass, bu ikinci koordineli saldırının, şirketin şifreli Amazon S3 kovalarına erişim elde etmek için ilk ihlalden çalınan verileri kullandığını söylüyor.
Bu şifre çözme anahtarlarına yalnızca dört LastPass DevOps mühendisinin erişimi olduğundan, tehdit aktörü mühendislerden birini hedef aldı. En sonunda bilgisayar korsanları, üçüncü taraf bir medya yazılım paketindeki bir uzaktan kod yürütme güvenlik açığından yararlanarak çalışanın cihazına bir keylogger’ı başarıyla yükledi.
Bugün yayınlanan yeni bir güvenlik danışma belgesinde, “Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”
“Tehdit aktörü daha sonra, AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları içeren yerel kurumsal kasa girişlerini ve paylaşılan klasörlerin içeriğini dışa aktardı. .”
Geçerli kimlik bilgilerinin kullanılması, şirketin müfettişlerinin tehdit aktörünün etkinliğini tespit etmesini zorlaştırdı ve bilgisayar korsanının 12 Ağustos 2022 ile 26 Ekim 2022 arasında iki aydan fazla bir süre boyunca LastPass’ın bulut depolama sunucularına erişmesine ve buradaki verileri çalmasına olanak sağladı.
LastPass, tehdit aktörü yetkisiz etkinlik gerçekleştirmek için Cloud Identity and Access Management (IAM) rollerini kullanmaya çalıştığında AWS GuardDuty Alerts aracılığıyla anormal davranışı en sonunda tespit etti.
Şirket, o zamandan beri hassas kimlik bilgilerini ve kimlik doğrulama anahtarlarını/belirteçlerini döndürme, sertifikaları iptal etme, ek günlük kaydı ve uyarı ekleme ve daha katı güvenlik politikaları uygulama dahil olmak üzere güvenlik duruşlarını güncellediklerini söylüyor.
Büyük miktarda veriye erişildi
LastPass, bugünkü açıklamanın bir parçası olarak, saldırıda hangi müşteri bilgilerinin çalındığına dair daha ayrıntılı bilgiler yayınladı.
Belirli bir müşteriye bağlı olarak bu veriler, Çok Faktörlü Kimlik Doğrulama (MFA) tohumlarından, MFA API entegrasyon sırlarına ve Federe ticari müşteriler için Bölünmüş bilgi bileşeni (“K2”) Anahtarına kadar geniş ve çeşitlidir.
Bir destek sayfasında daha ayrıntılı ve okunması kolay bir tabloyla birlikte çalınan verilerin tam listesi aşağıdadır.
Olay 1’de erişilen verilerin özeti:
İsteğe bağlı, bulut tabanlı geliştirme ve kaynak kodu havuzları – buna 200 yazılım deposundan 14’ü dahildir.
Havuzlardan dahili betikler – bunlar, LastPass sırlarını ve sertifikalarını içeriyordu.
- Dahili belgeler – geliştirme ortamının nasıl çalıştığını açıklayan teknik bilgiler.
Olay 2’de erişilen verilerin özeti:
DevOps Sırları – bulut tabanlı yedekleme depomuza erişim elde etmek için kullanılan kısıtlı sırlar.
Bulut tabanlı yedekleme depolaması – yapılandırma verilerini, API sırlarını, üçüncü taraf entegrasyon sırlarını, müşteri meta verilerini ve tüm müşteri kasası verilerinin yedeklerini içeriyordu. URL’ler, yüklü LastPass Windows veya macOS yazılımına giden dosya yolları ve e-posta adreslerini içeren belirli kullanım durumları dışındaki tüm hassas müşteri kasası verileri, Sıfır bilgi modelimiz kullanılarak şifrelenmiştir ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla şifresi çözülebilir. . Bir hatırlatma olarak, son kullanıcı ana parolaları LastPass tarafından hiçbir zaman bilinmez ve LastPass tarafından saklanmaz veya korunmaz – bu nedenle bunlar, sızdırılan verilere dahil edilmemiştir.
LastPass MFA/Federasyon Veritabanının Yedeklenmesi – LastPass Authenticator tohumlarının kopyalarını, MFA yedekleme seçeneği (etkinleştirilmişse) için kullanılan telefon numaralarını ve LastPass federasyonu (etkinleştirilmişse) için kullanılan bir bölünmüş bilgi bileşenini (K2 “anahtarı”) içeriyordu. Bu veri tabanı şifrelenmişti, ancak ayrı depolanan şifre çözme anahtarı, ikinci olay sırasında tehdit aktörü tarafından çalınan sırlara dahil edildi.
Şirketin de eklediği gibi, günümüzün destek bültenlerinin hiçbiri arama motorlarında listelenmediğinden bulmak kolay değil. Arama motorları tarafından dizine eklenmesini önlemek için belgeye HTML etiketleri.
LastPass ayrıca, müşterilerin ortamlarını korumak için gerçekleştirebilecekleri diğer adımları içeren “Kendinizi veya işletmenizi korumak için hangi eylemleri gerçekleştirmelisiniz” başlıklı bir PDF yayınladı.