攻撃者が複数の内部システムを通じて認証情報やその他の機密データを盗むことに成功した後、Vercel の顧客が侵害されるリスクにさらされていると同社は日曜日にセキュリティ速報で述べました。
Vercel に由来しなかった攻撃は、相互接続されたクラウドアプリケーションと過度に特権化された権限を持つ SaaS 統合の落とし穴を示しています。
攻撃者は、Next.js およびその他の人気のあるオープンソースライブラリを作成・維持しているサンフランシスコに拠点を置く企業に到達する前に、従業員によって公開されたままになっていたサードパーティシステムと接続を通じて移動しました。
Hudson Rock の研究者は、攻撃の種は 2月に Context.ai 従業員のコンピュータが Roblox ゲーム エクスプロイトを検索した後にLumma Stealer マルウェアに感染したときに植え付けられたと述べました。これは情報窃取ツールの配置の一般的なベクトルです。
各企業は、攻撃の責任を少なくともある程度は他のベンダーに押し付けています。
Context.ai は日曜日に、侵害により攻撃者は AWS 環境と一部のユーザーの OAuth トークン(Vercel 従業員のGoogle Workspace アカウントのトークンを含む)にアクセスできたと述べました。Vercel は Context の顧客ではありませんが、Vercel 従業員は Context AI Office Suite を使用していて完全なアクセスを許可していたと、人工知能エージェント企業は述べました。
「攻撃者はそのアクセスを使用して従業員の Vercel Google Workspace アカウントを乗っ取り、機密としてマークされていなかった一部の Vercel 環境と環境変数にアクセスできるようにしました」と Vercel はその速報で述べました。
同社は限定された数の顧客が影響を受けており、認証情報をローテーションするようにすぐに助言したと述べました。質問への回答を控えた同社は、どの内部システムにアクセスされたか、または攻撃者が Vercel 顧客の認証情報にどのようにアクセスしたかを完全に説明しませんでした。
Vercel CEO の Guillermo Rauch は、同社が保存する顧客データは完全に暗号化されていますが、攻撃者は列挙により、または特定の変数をカウントして在庫に入れることでさらにアクセスを獲得したと述べました。
「攻撃グループは非常に高度であり、強く疑いますが AI によって大幅に加速していると考えています」と彼はX への投稿で述べました。「彼らは驚くべき速さで Vercel の深い理解を持って行動しました。」
ShinyHunters と名乗る脅威グループは Telegram への投稿で攻撃の責任を負い、アクセスキー、ソースコード、データベースを含むと主張する盗まれたデータを売却しようとしています。
「攻撃者は、確立された名前を使用して彼らの悪名を膨らませようとしている詐欺師である可能性が高い」と、Google Threat Intelligence の主要脅威アナリスト Austin Larsen はLinkedIn の投稿で述べました。「関係する脅威アクターに関係なく、露出リスクは現実です。」
Vercel はまた、Context の Google Workspace OAuth アプリへの攻撃が「より広範な侵害の対象であり、多くの組織にわたる数百のユーザーに影響を与える可能性がある」と警告しました。侵害の指標を公開し、顧客にアクティビティログをレビューし、秘密を含む変数をレビューおよびローテーションすることを促しました。
Context と Vercel は、CrowdStrike と Mandiant によって支援された攻撃への別々で調整された調査は進行中であると述べました。
翻訳元: https://cyberscoop.com/vercel-security-breach-third-party-attack-context-ai-lumma-stealer/
