Vercelは、特定の内部システムへの不正アクセスを伴うセキュリティ侵害を確認しており、同社はこのインシデントが限定的な数のカスタマーアカウントと保存されたデータに影響を与えたと述べています。
クラウドプラットフォームプロバイダーは、外部のインシデント対応の専門家の支援を得てインシデントを積極的に調査しており、また法執行機関にも通知したと述べています。
Vercelによると、侵害は従業員の1人が使用していたサードパーティーのAIツールであるContext.aiの侵害から始まりました。
攻撃者はそのアクセスを使用して従業員のGoogle Workspaceアカウントを乗っ取ったとされており、その後従業員のVercelアカウントへのアクセスを得ました。
そこから、侵入者はVercelの環境に深く侵入し、機微でない環境変数を列挙および復号化するために使用されるシステムにアクセスしました。
同社は、その初期調査により、限定的な顧客のサブセットが機微でない環境変数にさらされたことが判明したと述べています。
これらの変数は、Vercelに保存されており、平文に復号化できる値として説明されており、攻撃者に一部の認証情報を公開する可能性がありました。Vercelは影響を受けた顧客に直接連絡し、認証情報をすぐにローテーションするよう促したと述べています。
調査が拡大するにつれて、Vercelは同じインシデントで侵害された少数の追加アカウントが見つかったと述べています。
また、この攻撃より前に遡る侵害の証拠を示し、関連がないと思われる別の小規模な顧客アカウントグループを発見し、ソーシャルエンジニアリング、マルウェア、またはその他の方法にリンクされている可能性があります。Vercelは両方のグループの影響を受けたすべての顧客に通知したと述べています。
同社は、操作の速度とVercelの製品APIサーフェスに関する攻撃者の見かけ上の知識を引用して、脅威行為者を高度に洗練していると説明しています。
Vercelはまた、対応の一環としてGoogle Mandiantと協力しており、他のサイバーセキュリティ企業、業界仲間、および法執行機関と協力していると述べています。Context.aiも元の侵害のより広い範囲を決定するために支援するために関与しています。
Vercelは、インシデント中に同社のnpmパッケージが改ざんされたという証拠がないと述べています。
GitHub、Microsoft、npm、およびSocketとの連携により、同社は公開されたパッケージが侵害されておらず、ソフトウェアサプライチェーンが安全なままであることを確認したと述べています。
顧客向けに、Vercelのガイダンスは明確です。多要素認証を有効にし、パスキーを作成するか認証器アプリを使用し、アクティビティログを確認し、最近のデプロイメントを検査し、機微としてマークされていない環境変数をローテーションしてください。
同社はまた、公開されたシークレットが本番システムへのアクセスをまだ付与している場合、プロジェクトまたはアカウントを削除することはリスク除去に十分ではないと警告しています。
対応の一環として、Vercelは環境変数のより強い保護、改善されたセキュリティの可視性、および拡張されたアクティビティログ機能をロールアウトしていると述べています。
翻訳元: https://gbhackers.com/vercel-confirms-security-breach/
