Click Studios, австралийская компания-разработчик программного обеспечения для управления паролями Passwordstate, уведомила клиентов о необходимости сброса их паролей после supply-chain атаки.
В фирме, расположенной в Аделаиде, сказали, что злоумышленник использовал изощренные методы для компрометации механизма обновления программного обеспечения и использовал его для внедрения вредоносных программ на пользовательские компьютеры.
Нарушение, как утверждается, произошло между 20:33 20 апреля в по UTC и 0:30 22 апреля по UTC, в общей сложности длительность атаки около 28 часов.
«Считается, что пострадали только те клиенты, которые устанавливали автоматическое обновление в промежутке между вышеуказанными интервалами», - говорится в сообщении компании. «Ручные патчи не были затронуты. Записи о паролях пострадавших клиентов могут быть скомпрометированы».
Впервые об инциденте сообщил польский технический новостной сайт Niebezpiecznik. Пока не удалось определить, кто атакующие и каким образом они скомпрометировали функцию обновления менеджера паролей. Компания Click Studios сообщила, что расследование инцидента продолжается, но отметила, что «количество пострадавших клиентов кажется небольшим».
Passwordstate - это локальное веб-решение, используемое для управления корпоративными паролями, позволяющее предприятиям безопасно хранить пароли, интегрировать решение в свои приложения, а также сбрасывать пароли в различных системах. Программное обеспечение используется 29 000 клиентами и 370 000 профессионалами в области безопасности и ИТ по всему миру, в том числе несколькими компаниями из списка Fortune 500, охватывающими такие отрасли, как банковское дело, страхование, оборона, государственные учреждения, образование и производственная промышленность.
Согласно первоначальному анализу, проведенному датской охранной фирмой CSIS Group, вредоносное обновление пришло в виде ZIP-архивного файла «Passwordstate_upgrade.zip», который содержал модифицированную версию библиотеки под названием «moserware.secretsplitter.dll» (проверки VirusTotal здесь и здесь).
Этот файл, в свою очередь, устанавливает контакт с удаленным сервером для получения полезной нагрузки второй стадии («upgrade_service_upgrade.zip»), которая извлекает данные Passwordstate и отправляет их в CDN-сеть противника. По сообщению Click Studios CnC-сервер атакующего был выведен из строя 22 апреля в 7:00 утра.
Полный список скомпрометированной информации включает в себя имя компьютера, имя пользователя, доменное имя, имя текущего процесса, идентификатор текущего процесса, имена и идентификаторы всех запущенных процессов, имена всех запущенных служб, отображаемые имя и статус, адрес прокси-сервера экземпляра Passwordstate, хранимые в Passwordstate имена пользователей и пароли.
Click Studios выпустила пакет исправлений, который поможет клиентам удалить фальсифицированные DLL и перезаписать их легитимным вариантом. Компания также рекомендует предприятиям сбросить все учетные данные, связанные с внешними системами (брандмауэры, VPN), а также внутренней инфраструктурой (системы хранения, локальные системы) и любыми другими паролями, хранящимися в Passwordstate.
Взлом Passwordstate происходит на фоне быстрого развития атаки на цепочки поставок, которые сегодня представляют собой новую угрозу для компаний, которые зависят от сторонних производителей программного обеспечения в своей повседневной работе. Например, в декабре 2020 года неавторизованное обновление программного обеспечения для управления сетью SolarWinds Orion установило бэкдор в сетях до 18 000 клиентов.
Также на прошлой неделе компания Codecov, проводящая аудит программного обеспечения, предупредила клиентов о том, что еще 31 января она обнаружила, что ее программное обеспечение было заражено бэкдором, который позволял злоумышленникам получить доступ к маркерам аутентификации для различных внутренних учетных записей программного обеспечения, используемых разработчиками. Инцидент стал известен только 1 апреля.
Перевод сделан со статьи: https://thehackernews.com