Next.js開発者向けサービスを提供するVercelは、「非常に高度な」攻撃者による、機密性の高い内部データが脅威要因の手に渡った可能性があるサイバーインシデントを確認しました。
開発者ツールとクラウドインフラストラクチャを提供する米国企業は、4月21日付の更新通知で、不正アクセスがサードパーティツール「Context.ai」の従業員による使用に起因していると述べました。
「攻撃者はそのアクセスを使用して、従業員のVercel Google Workspaceアカウントを乗っ取り、機密としてマークされていない一部のVercel環境と環境変数にアクセスできるようにしました」と述べています。
「Vercelで「機密」としてマークされた環境変数は、読み取りを防ぐ方法で保存されており、現在のところこれらの値がアクセスされたという証拠はありません。」
詳細を読む:NCSCがユーザーにNext.jsの欠陥に直ちにパッチを当てるよう促す
Vercelは、攻撃者が「運用速度とVercelシステムの詳細な理解に基づいて非常に高度である」と主張しました。
しかし、npmパッケージは何も侵害されておらず、改ざんの証拠もないことを確認し、人気のあるReactフレームワークNext.jsのようなプロジェクトは安全であることを意味します。
Vercelは、Vercelに保存された「機密でない環境変数」が侵害された「限定的な顧客サブセット」にすでに連絡したと述べました。
X(旧Twitter)に投稿されたスクリーンショットによると、ShinyHuntersコレクティブの一部を装う脅威要因がVercelから200万ドルの身代金を要求しています。複数の従業員アカウント「複数の内部デプロイメントへのアクセス権を持つ」、およびAPIキー、npm/GitHubトークン、ソースコード、データベースへのアクセス権を持つと主張しています。
Vercelの顧客にベストプラクティスに従うよう促す
Mandiantと協力して脅威要因の請求の有効性を確認しながら、Vercelは顧客に対して以下のアドバイスを発行しました:
- 認証器アプリまたはパスキー経由で多要素認証(MFA)を有効にする
- 「機密」としてマークされていない環境変数を確認してローテーションしてください。これらは潜在的に公開されている可能性があります。APIキー、トークン、データベース認証情報、署名キーが含まれます
- 機密環境変数機能を使用してシークレット値を保護する
- アクティビティログで疑わしいアクティビティを確認する
- 疑わしいまたは予期しない最近のデプロイメントを調査する
- デプロイメント保護が最低でも標準に設定されていることを確認する
- デプロイメント保護トークンをローテーションする
AppOmniのCISO、Cory Michalは、漏洩をContext.aiがVercel従業員のGoogle Workspaceアカウントに提供したOAuthアクセスまでさかのぼりました。
「ユーザーが1つのアプリを承認すると、その信頼はメール、ID、CRM、開発、その他のシステムに多くの組織が完全に在庫または監視していない方法で拡張される可能性があり、これにより単一の侵害統合が強力なピボットポイントになります」と彼は付け加えました。
「重要な教訓は、サードパーティリスク管理はベンダーのSOC 2レポートまたはペネトレーションテスト結果の確認で終わることができないということです。組織は、サードパーティアプリケーションがSaaS資産全体でどのように実際に接続されているか、どのOAuthグラントと統合トークンを保持しているか、そして1つのプロバイダーが侵害された場合にこれらの関係がどのように悪用される可能性があるかについて継続的な可視性が必要です。」
翻訳元: https://www.infosecurity-magazine.com/news/vercel-cyber-incident-threat-actor/
