Kỹ sư DevOps đã hack để đánh cắp password vault trong vụ vi phạm LastPass năm 2022

Posted on by Bình luận về bài viết này
Logo LastPass trên một hầm mật khẩu

LastPass đã tiết lộ thêm thông tin về một “cuộc tấn công thứ hai có phối hợp”, trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây AWS của Amazon trong hơn hai tháng.

LastPass  đã tiết lộ một vi phạm  vào tháng 12, trong đó các tác nhân đe dọa đã đánh cắp dữ liệu kho mật khẩu được mã hóa một phần và thông tin khách hàng. Công ty hiện đã tiết lộ cách thức các tác nhân đe dọa thực hiện cuộc tấn công này, nói rằng họ đã sử dụng  thông tin bị đánh cắp trong một vụ vi phạm vào tháng 8 , thông tin từ một vụ vi phạm dữ liệu khác và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao.

LastPass cho biết cuộc tấn công phối hợp thứ hai này đã sử dụng dữ liệu bị đánh cắp từ lần vi phạm đầu tiên để giành quyền truy cập vào các bộ chứa Amazon S3 được mã hóa của công ty.

Vì chỉ có bốn kỹ sư DevOps của LastPass có quyền truy cập vào các khóa giải mã này nên tác nhân đe dọa đã nhắm mục tiêu vào một trong các kỹ sư. Cuối cùng, tin tặc đã cài đặt thành công keylogger trên thiết bị của nhân viên bằng cách khai thác lỗ hổng thực thi mã từ xa trong gói phần mềm phương tiện của bên thứ ba.

“Kẻ đe dọa đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đó xác thực bằng MFA và có quyền truy cập vào kho tiền công ty LastPass của kỹ sư DevOps,” một tư vấn bảo mật mới được công bố hôm nay cho  biết  .

“Sau đó, kẻ đe dọa đã xuất các mục nhập kho tiền công ty gốc và nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu sản xuất AWS S3 LastPass, các tài nguyên lưu trữ dựa trên đám mây khác và một số bản sao lưu cơ sở dữ liệu quan trọng có liên quan .”

Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ đe dọa, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây của LastPass trong hơn hai tháng, từ ngày 12 tháng 8 năm 2022 đến ngày 26 tháng 10 năm 2022.

LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ đe dọa cố gắng sử dụng vai trò Quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.

Công ty cho biết kể từ đó họ đã cập nhật trạng thái bảo mật của mình, bao gồm luân phiên thông tin đăng nhập nhạy cảm và khóa/mã thông báo xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.

Một lượng lớn dữ liệu đã được truy cập

Là một phần của tiết lộ ngày hôm nay, LastPass đã công bố thông tin chi tiết hơn về thông tin khách hàng nào đã bị đánh cắp trong cuộc tấn công.

Tùy thuộc vào khách hàng cụ thể, dữ liệu này rất rộng và đa dạng, từ hạt giống Xác thực đa yếu tố (MFA), bí mật tích hợp API MFA và đến Khóa thành phần kiến ​​thức phân tách (“K2”) dành cho khách hàng doanh nghiệp được liên kết.

Dưới đây là danh sách đầy đủ các dữ liệu bị đánh cắp, với biểu đồ chi tiết hơn và dễ đọc hơn trên trang hỗ trợ.

Tóm tắt dữ liệu được truy cập trong Sự cố 1:

  • Kho lưu trữ mã nguồn và phát triển dựa trên đám mây theo yêu cầu – bao gồm 14 trong số 200 kho lưu trữ phần mềm.
  • Các tập lệnh nội bộ từ các kho lưu trữ – những tập lệnh này chứa các bí mật và chứng chỉ LastPass.
  • Tài liệu nội bộ – thông tin kỹ thuật mô tả cách thức hoạt động của môi trường phát triển.

Tóm tắt dữ liệu được truy cập trong Sự cố 2:

  • Bí mật DevOps – bí mật bị hạn chế được sử dụng để có quyền truy cập vào bộ lưu trữ sao lưu dựa trên đám mây của chúng tôi.
  • Lưu trữ sao lưu dựa trên đám mây – chứa dữ liệu cấu hình, bí mật API, bí mật tích hợp của bên thứ ba, siêu dữ liệu khách hàng và sao lưu tất cả dữ liệu kho tiền của khách hàng. Tất cả dữ liệu kho tiền nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp sử dụng nhất định liên quan đến địa chỉ email, đều được mã hóa bằng mô hình Kiến thức Zero của chúng tôi và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ chủ của mỗi người dùng mật khẩu. Xin nhắc lại, mật khẩu chính của người dùng cuối không bao giờ được LastPass biết đến và không được LastPass lưu trữ hoặc duy trì – do đó, chúng không được đưa vào dữ liệu bị lọc.
  • Sao lưu Cơ sở dữ liệu liên kết/MFA của LastPass – chứa các bản sao của hạt LastPass Authenticator, số điện thoại được sử dụng cho tùy chọn sao lưu MFA (nếu được bật), cũng như thành phần kiến ​​thức phân tách (“khóa”) được sử dụng cho liên kết LastPass (nếu được bật) . Cơ sở dữ liệu này đã được mã hóa, nhưng khóa giải mã được lưu trữ riêng được bao gồm trong các bí mật bị tác nhân đe dọa đánh cắp trong sự cố thứ hai.

Tất cả các bản tin hỗ trợ ngày nay đều không dễ tìm, không có bản tin nào được liệt kê trong các công cụ tìm kiếm, vì công ty đã thêm <meta name="robots" content="noindex">các thẻ HTML vào tài liệu để ngăn chúng được lập chỉ mục bởi các công cụ tìm kiếm.

LastPass cũng đã phát hành một tệp PDF có tiêu đề ” Bạn nên thực hiện những hành động nào để bảo vệ bản thân hoặc doanh nghiệp của mình “, trong đó có các bước tiếp theo mà khách hàng có thể thực hiện để bảo vệ môi trường của họ.

Theo BC / Security365

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s