LastPass, müşterilerine bir kez daha, geliştirme ortamının Ağustos 2022’de ihlali ve ardından şirketin yedekleri barındıran üçüncü taraf bulut depolama hizmetine yetkisiz erişimle ilgili bir güvenlik olayını anlatıyor: “Tehdit aktörü, ilk olay sırasında çalınan bilgilerden yararlandı. , bir üçüncü taraf veri ihlalinden elde edilen bilgiler ve koordineli bir ikinci saldırı başlatmak için üçüncü taraf bir medya yazılım paketindeki bir güvenlik açığı.”
Her iki ihlalin de sonuçları felakettir ve sonuç olarak çalınan/tehlikeye atılan veri ve sırların listesi kapsamlıdır.
LastPass şirket kasasına girme
LastPass, ikinci olayın başlangıçta fark edilmediğini söylüyor, ikinci olayın taktikleri, teknikleri ve prosedürleri (TTP’ler) ve uzlaşma göstergeleri (IOC’ler) “birinci olayınkilerle tutarlı değildi.” İki olayın birbiriyle bağlantılı olduğu ancak daha sonra anlaşıldı.
Şirket, “İkinci olay, tehdit aktörünün verileri numaralandırmak ve nihayetinde bulut depolama kaynaklarından sızdırmak için ekiplerimiz tarafından tamamlanan sıfırlama işleminden önce ilk olay sırasında sızan bilgileri hızlı bir şekilde kullandığını gördü.”
Saldırgan bunu nasıl yaptı? Görünen o ki, kıdemli bir DevOps mühendisinden erişim kimlik bilgilerini şu yollarla çaldılar:
- DevOps mühendisinin ev bilgisayarını hedeflemek ve güvenlik açığı bulunan bir üçüncü taraf medya yazılım paketini (bir Ars Technica kaynağına göre Plesk) kullanarak uzaktan kod yürütme
- Çalışanın ana parolasını yakalayan bir keylogger yerleştirmek için bu yeteneği kullanmak (çalışanın MFA ile kimliğini doğrulamasından sonra)
- Mühendisin LastPass şirket kasasına erişim elde etme
“Tehdit aktörü daha sonra, AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları içeren yerel kurumsal kasa girişlerini ve paylaşılan klasörlerin içeriğini dışa aktardı. LastPass eklendi.
Şirket, saldırganın kimliğini ve motivasyonunu hala bilmediklerini söylüyor: “İletişim veya talepte bulunulmadı ve tehdit aktörünün aktif olarak pazarlama veya satış yaptığına dair güvenilir bir yeraltı faaliyeti tespit edilmedi. her iki olay sırasında elde edilen herhangi bir bilgi.
Elbette şirketin başka bir hedef için yalnızca bir atlama taşı olması da mümkündür – hizmetlerin ve şirketlerin birbirine bağlılığı öyle bir düzeye ulaştı ki, üçüncü taraf tedarik zinciri tavizleri pratikte sıradan hale geldi.
LastPass müşterileri şimdi ne yapmalı?
Tehdit aktörünün hangi DevOps mühendisinin hedef alacağını nasıl belirlediğini ve sonunda bilgisayarlarında “atlamayı” nasıl başardığını bilmek ilginç olurdu, ancak bu tür bir “kişisel” yaklaşım duyulmamış değil (ve genel olarak bilinenden daha sık olabilir).
LastPass bu olayla ilgili henüz resmi bir gönderi yayınlamadı – tüm bunları ancak şimdi biliyoruz çünkü şirket ticari müşterilerini sessizce bilgilendirmeye başladı ve bilgiler sızdırıldı.
Bildirimin bir kopyası burada mevcuttur ve hem Business hem de Teams müşterilerini ve LastPass Ücretsiz, Premium ve Aile Müşterilerini tavsiye edilen en iyi uygulamalara ve kendilerini ve kuruluşlarını bu ihlalin olası sonuçlarından korumak için yapmaları gereken eylemlere yönlendirir.