W skrócie
- Platforma chmurowa Vercel ujawniła szczegóły incydentu bezpieczeństwa, który skompromitował dane uwierzytelniające niektórych klientów.
- Prezes firmy Guillermo Raugh ujawnił, że grupa atakująca była "wysoce wyrafinowana" i prawdopodobnie wykorzystywała narzędzia AI.
- Wiele frontendów krypto używa Vercel do hostowania swoich interfejsów, a firma zaleca natychmiastową rotację danych uwierzytelniających.
Prezes Vercel powiedział, że "wysoce wyrafinowana" grupa hakerska, potencjalnie wspomagana przez AI, stała za niedawnym incydentem bezpieczeństwa, który ujawnił dane uwierzytelniające niektórych klientów po naruszeniu systemów wewnętrznych.
"Uważamy, że grupa atakująca jest wysoce wyrafinowana i jestem głęboko przekonany, że znacząco wspierana przez AI," napisał na Twitterze prezes Guillermo Rauch, dodając, że atakujący "działali z zaskakującą szybkością i dogłębnym zrozumieniem Vercel."
Firma, która jest platformą chmurową dla programistów, poinformowała w niedzielę, że zidentyfikowała nieautoryzowany dostęp do niektórych systemów wewnętrznych i aktywnie prowadzi dochodzenie. Incydent dotknął ograniczoną grupę klientów, których dane uwierzytelniające zostały skompromitowane, co skłoniło firmę do zalecenia natychmiastowej rotacji danych uwierzytelniających.
Naruszenie powstało w wyniku kompromitacji Context.ai, zewnętrznego narzędzia AI używanego przez pracownika Vercel, co umożliwiło atakującym przejęcie konta Google Workspace pracownika i uzyskanie dostępu do niektórych środowisk Vercel oraz niewrażliwych zmiennych środowiskowych.
Ujawnienie podkreśla rosnące obawy dotyczące zagrożeń bezpieczeństwa związanych z integracjami stron trzecich i narzędziami wspieranymi przez AI, ponieważ atakujący coraz częściej wykorzystują podatności łańcucha dostaw, aby zdobyć przyczółki wewnątrz organizacji.
Vercel i krypto
Natalie Newson, starszy badacz bezpieczeństwa blockchain w CertiK, powiedziała Decrypt, że wydarzenie wywołało pilność wśród programistów krypto. "Ponieważ wiele frontendów krypto używa Vercel do hostowania swoich interfejsów, naruszenie może umożliwić atakującym implantację drainera portfeli. Użytkownicy wchodzący w interakcję z zaufaną stroną nie będą spodziewać się, że coś złośliwego może się wydarzyć," powiedziała, dodając, że "Exploity w przestrzeni krypto mogą prowadzić do znacznych strat finansowych."
Nawet jeśli inteligentne kontrakty pozostają bezpieczne, kompromitacje frontendu nadal stanowią ryzyko. "Kompromitacje frontendu mogą być szczególnie szkodliwe dla użytkowników końcowych," zauważyła, wskazując na incydent CoW Swap w kwietniu, w którym jeden użytkownik stracił 316 tys. dolarów ze swojego portfela.
Powiedziała, że rosnący trend agentowego AI doprowadził do tego, że wielu użytkowników publikuje najnowsze aplikacje i rozszerzenia, aby poprawić produktywność, a złośliwi aktorzy wykorzystują ten trend. "Firmy powinny być szczególnie ostrożne przy korzystaniu z nowych aplikacji i rozszerzeń AI, jednocześnie przeglądając wewnętrzne modele bezpieczeństwa, aby zapewnić, że jeśli dojdzie do naruszenia, wpływ pozostanie jak najbardziej ograniczony," powiedziała.
Rauch powiedział, że atak rozwinął się poprzez "serię manewrów" zaczynając od skompromitowanego konta pracownika i eskalując do szerszego dostępu do środowisk wewnętrznych. Podczas gdy Vercel przechowuje zmienne środowiskowe klientów zaszyfrowane w spoczynku, firma pozwala, aby niektóre zmienne były oznaczone jako niewrażliwe, do których atakujący byli w stanie uzyskać dostęp.
Firma uważa, że liczba dotkniętych klientów jest ograniczona i stwierdziła, że skontaktowała się priorytetowo z tymi potencjalnie dotkniętymi. Vercel wdrożył od tego czasu dodatkowe środki monitorowania i ochrony, jednocześnie przeglądając swój łańcuch dostaw, aby zapewnić bezpieczeństwo projektów takich jak Next.js i Turbopack.
John Woods, prezes Nillion, powiedział Decrypt, że "ograniczona grupa" zwykle oznacza, że obserwowany zestaw dotkniętych klientów wydaje się jak dotąd ograniczony, ale niekoniecznie wyklucza to szerszy ruch wewnętrzny lub szersze ryzyko downstream. "Na nowoczesnych platformach chmurowych, promień rażenia to nie tylko liczba klientów widocznie dotkniętych na początku, ale także to, do czego mogły dotrzeć skompromitowane systemy za kulisami," powiedział Woods.
Zalecił firmom stosowanie różnych najlepszych praktyk, aby uniknąć tego rodzaju sytuacji. "Zablokować uprawnienia OAuth, używać najmniejszych uprawnień, egzekwować ścisłe kontrole wokół wrażliwych zmiennych środowiskowych, oddzielić wdrożenie frontendu od autorytetu sekretów lub podpisywania oraz ściśle monitorować wdrożenia i logi," powiedział.
"Dla każdego, czyje dane uwierzytelniające mogły zostać zabrane, natychmiastowym priorytetem jest odwołanie dostępu, rotacja danych uwierzytelniających i przegląd każdego systemu, do którego te dane mogły dotrzeć," dodał, zauważając, że "Na wyższym poziomie lekcja brzmi: unikać architektur, w których jeden kompromis może dotrzeć do zbyt wielu rzeczy."
Nie jest jeszcze jasne, kto stoi za atakiem. Pojawiły się zrzuty ekranu użytkownika o nazwie grupy hakerskiej "ShinyHunters" twierdzącego na forum, że naruszył Vercel i sprzedaje dostęp do danych firmy, w tym kod źródłowy, klucze API i systemy wewnętrzne.
Aktor, który może również podszywać się pod ShinyHunters, twierdził również, że omawiał z firmą żądanie okupu w wysokości 2 milionów dolarów. Vercel nie odpowiedział natychmiast na prośbę o potwierdzenie tych twierdzeń.
Newsletter Daily Debrief
Rozpocznij każdy dzień od najważniejszych wiadomości, a także oryginalnych artykułów, podcastów, filmów i nie tylko.
Źródło: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
