由于惡意黑客竊取并使用了有效的通路憑證,LastPass的安全人員難以檢測到對手活動,導緻其從LastPass的雲存儲伺服器處通路并竊取到大量資料,持續駐留達兩個月以上。
前情回顧·我怎麼被黑的?
- 網絡巨頭思科遭資料勒索:VPN通路權限被竊取,2.8GB資料洩露
- 微軟被指旗下産品遭濫用攻擊客戶,一家美國頂級安全公司險些被黑
- 我看見你在黑我了!烏克蘭國安公開警告俄羅斯APT組織
- 安全内參3月2日消息,密碼管理供應商LastPass日前公布了去年遭受“二次協同攻擊”事件的更多資訊,發現惡意黑客潛伏在其内網長達兩個月的時間内,持續通路并竊取了亞馬遜AWS雲存儲中的資料。
據安全内參了解,“二次協同攻擊”事件,是指LastPass在2022年8月、12月先後披露的兩起違規事件,這兩起事件的攻擊鍊有關聯。
關鍵運維員工遭定向攻擊
LastPass在去年12月透露,惡意黑客竊取到部分加密的密碼保險庫資料和客戶資訊。現在,該公司進一步解釋了惡意黑客的攻擊實施方法,稱對方使用到了去年8月首次入侵時竊取的資訊,還利用一個遠端代碼執行漏洞,在一名進階DevOps工程師的計算機上安裝了鍵盤記錄器。
LastPass表示,二次協同攻擊利用到了首輪違規中外洩的資料,并通路了該公司經過加密的Amazon S3存儲桶。
LastPass公司隻有4位DevOps工程師有權通路這些解密密鑰,是以惡意黑客将矛頭指向了其中一名工程師。最終,黑客利用第三方媒體軟體包中的遠端代碼執行漏洞,在該員工的裝置上成功安裝了鍵盤記錄器。
“惡意黑客成功擷取了員工在完成多因素身份驗證(MFA)後輸入的主密碼(master password),借此獲得了該DevOps工程師對LastPass企業密碼保險庫的通路權。”LastPass日前釋出的最新安全警告稱。
“惡意黑客随後導出了共享檔案夾中的本地企業密碼保險庫條目和内容,其中包括能夠通路LastPass AWS S3生産備份、其他雲存儲資源以及部分相關重要資料庫備份的安全注釋和加密密鑰。”
由于惡意黑客竊取并使用了有效的通路憑證,LastPass的調查人員很難檢測到對方活動,導緻其順利從LastPass的雲存儲伺服器處通路并竊取到大量資料。惡意黑客甚至持續駐留達兩個月以上,從2022年8月12日一直到2022年10月26日。
直到惡意黑客嘗試用雲身份和通路管理(IAM)角色執行未授權操作時,LastPass才最終通過AWS GuardDuty警報檢測到這些異常行為。
該公司表示,他們已經更新了安全機制,包括對敏感憑證及身份驗證密鑰/令牌進行輪換、撤銷證書、添加其他記錄與警報,以及執行更嚴格的安全政策等。
大量資料已被通路
作為此次披露的一部分,LastPass還釋出了關于攻擊中哪些客戶資訊遭到竊取的具體說明。
根據特定客戶的不同,失竊資料的範圍很廣且内容多樣,包括多因素身份驗證(MFA)種子值、MFA API內建secreet,以及為聯合企業客戶提供的Split Knowledge元件(K2)密鑰。
以下是被盜資料内容的基本概括,更詳細的失竊資訊說明請參閱LastPass支援頁面(https://support.lastpass.com/help/what-data-was-accessed)。
事件1中被通路的資料彙總
雲端按需開發和源代碼倉庫——包括全部200個軟體代碼倉庫中的14個。
來自各代碼倉庫的内部腳本——其中包含LastPass secrets和證書。
内部文檔——描述開發環境運作方式的技術資訊。
事件2中被通路的資料彙總
DevOps secrets——用于通路我們雲端備份存儲的受保護secrets。
雲備份存儲——包含配置資料API secrets、第三方內建secrets客戶中繼資料,以及所有客戶保險庫資料的備份。除URL、用于安裝LastPass Windows/macOS版軟體以及涉及郵件位址的特定用例之外,全部敏感客戶保險庫資料均通過“零知識架構”進行加密,且隻能通過各使用者主密碼提供的唯一加密密鑰實作解密。請注意,LastPass永遠不會擷取最終使用者的主密碼,也不會存儲或持有主密碼——是以,洩露資料中不涉及任何主密碼。
LastPass MFA/聯邦資料庫備份——包含LastPass Authenticator的種子值副本,作為MFA備份選項(如果啟用)的電話号碼,以及供LastPass聯邦資料庫(如果啟用)使用的Split Knowledge元件(即K2「密鑰」)。該資料庫經過加密,但在第二次違規事件中,惡意黑客竊取了單獨存儲的解密密鑰。
本次釋出的支援公告還相當“隐蔽”,由于LastPass公司在公告頁面的HTML标簽添加了<meta name="robots" content="noindex">,是以該頁面無法通過搜尋引擎直接檢索。
LastPass還釋出一份題為“安全事件更新與建議操作”的PDF文檔,其中包含關于違規和失竊資料的更多資訊。
該公司也整理了支援檔案,面向免費、付費和家庭客戶以及LastPass Business管理者提供應對建議。
通過公告中的建議操作,應可進一步保障您的LastPass賬戶與相關內建。
參考資料:bleepingcomputer.com