Bu Ağustos ayında LastPass’ta yazılım geliştirme ortamını ihlal eden ve şirketten kaynak kodunu ve diğer özel verileri çalan bir saldırgan, parola yönetim firmasına yeniden saldırmış gibi görünüyor.
Çarşamba günü, LastPass, Ağustos saldırısı sırasında elde edilen bilgileri kullanan birinin isimsiz bir üçüncü taraf bulut depolama hizmetinde depolanan kaynak koduna ve belirtilmemiş müşteri verilerine erişmeyi başardığı yakın tarihli bir olayı araştırdığını açıkladı. LastPass, saldırganın ne tür müşteri verilerine erişmiş olabileceğini açıklamadı, ancak ürün ve hizmetlerinin tamamen çalışır durumda olduğunu iddia etti.
Olağandışı Etkinlik
“Kısa bir süre önce, şu anda hem LastPass hem de bağlı kuruluşu GoTo tarafından paylaşılan bir üçüncü taraf bulut depolama hizmetinde olağandışı etkinlik tespit ettik.” LastPass dedi. “Hemen bir soruşturma başlattık, önde gelen bir güvenlik firması olan Mandiant’ı görevlendirdik ve kolluk kuvvetlerini uyardık.”
LastPass’ın açıklaması, yine Çarşamba günü GoTo’dan gelen ve görünüşe göre aynı olağandışı aktivite üçüncü taraf bulut depolama hizmeti içinde. Ek olarak, GoTo’nun açıklaması, etkinliğin geliştirme ortamını etkilediğini açıkladı ancak başka ayrıntı vermedi. LastPass gibi GoTo da video konferans ve işbirliği hizmetlerinin olayı araştırırken tamamen işlevsel kaldığını söyledi.
GoTo’nun geliştirme ortamının bariz ihlalinin, LastPass’a Ağustos ayında yapılan izinsiz girişle herhangi bir şekilde ilgili olup olmadığı veya iki olayın tamamen ayrı olup olmadığı açık değildir. Her iki şirket de, iki olayın birbiriyle ilişkili olup olmayacağına dair bir Karanlık Okuma sorusunu yanıtlamayı reddetti.
LastPass’taki yeni ihlal, saldırganların Ağustos ayında şirketten daha önce düşünülenden daha fazla veriye erişmiş olabileceğini gösteriyor. LastPass daha önce ağustos ayındaki ihlaldeki davetsiz misafirin bir yazılım geliştiricinin kimlik bilgilerini çalarak ve o kişinin kimliğine bürünerek geliştirme ortamına erişim kazandığını belirtmişti. Şirket, o zamandan beri, sistem tasarımı ve uyguladığı kontroller nedeniyle tehdit aktörünün herhangi bir müşteri verisine veya şifreli şifre kasasına erişim sağlamadığını iddia ediyor.
LastPass’ın Güvenlik Kontrolleri Yeterince Güçlü müydü?
Bu kontroller, geliştirme ortamının üretim ortamından tamamen fiziksel ve ağ olarak ayrılmasını ve geliştirme ortamının hiçbir müşteri verisi veya şifreli kasa içermemesini sağlamayı içerir. LastPass ayrıca müşteri kasalarına giden ana şifrelere erişimi olmadığını ve böylece yalnızca müşterinin erişebilmesini sağladığını kaydetti.
Synopsys Software Integrity Group teknik direktörü ve baş mimarı Michael White, LastPass’ın geliştirme ve testi ayırma ve geliştirme/testte hiçbir müşteri verisinin kullanılmamasını sağlama uygulamasının kesinlikle iyi uygulamalar olduğunu ve önerilerle uyumlu olduğunu söylüyor.
Bununla birlikte, bir tehdit aktörünün geliştirme ortamına erişmeyi başarması, potansiyel olarak çok fazla zarar verme yeteneğine sahip olduğu anlamına gelir.
White, “Kısa cevap, halka açık bir şekilde söylenenlere dayanarak bilemeyeceğimizdir” diyor. “Bununla birlikte, etkilenen dev sistemlerin yazılım oluşturma ve yayınlama için kullanılan ortak dahili araçlara (örneğin, kaynak kodu havuzları, derleme sistemleri veya ikili yapı depolama) herhangi bir erişimi varsa, bu, bir saldırının sisteme gizli bir arka kapı sokmasına izin verebilir. kod.”
Bu nedenle, LastPass’in geliştirme ve testi üretim ortamından ayırmış olabileceği gerçeği, müşterilerin tam olarak korunduğunu garanti etmek için yeterli değildir, diyor.
LastPass’in kendisi, yalnızca Ağustos ihlalinin arkasındaki tehdit aktörünün kaynak koduna ve diğer bazı fikri mülkiyetlere eriştiğini doğruladı. Ancak araştırmacılar Dark Reading’e, oyuncunun başka zararlar da verip vermediği belli değil.
PhishFirewall CEO’su Joshua Crumbaugh, geliştirme ortamlarının tehdit aktörlerinin tespit edilmeden kötü amaçlı kod enjekte etmesi için kolay hedefler sunma eğiliminde olduğunu söylüyor. “Bu kötü amaçlı kod, samanlıkta aramayı bilmediğiniz bir iğne bulmaya benziyor” diyor.
Geliştirme ortamları, sabit kodlanmış kimlik bilgilerine sahip olmaları ve API anahtarlarının, kullanıcı kimlik bilgilerinin ve diğer hassas bilgilerin güvenli olmayan şekilde depolanmasıyla da bilinir. Crumbaugh, “Araştırmamız, geliştirme ekiplerinin çoğu kuruluşta güvenlik konusunda en az bilinçli departmanlardan biri olduğunu sürekli olarak gösteriyor” diyor. LastPass’ın ihlal devamının, ilk ihlalden sonra saldırganların eylemlerini tam olarak izlemediklerini gösterdiğini ekliyor.