Click Studios, công ty phần mềm của Úc đứng sau Mật khẩu ứng dụng quản lý mật khẩu, đã thông báo cho khách hàng đặt lại mật khẩu của họ sau một cuộc tấn công chuỗi cung ứng phần mềm.
Công ty có trụ sở tại Adelaide cho biết một kẻ xấu đã sử dụng các kỹ thuật tinh vi để xâm phạm cơ chế cập nhật của phần mềm và sử dụng nó để đánh rơi phần mềm độc hại trên máy tính người dùng.
Vi phạm được cho là đã xảy ra từ ngày 20 tháng 4, 8:33 tối UTC và ngày 22 tháng 4, 0:30 sáng UTC, trong tổng thời gian khoảng 28 giờ.
“Chỉ những khách hàng đã thực hiện Nâng cấp tại chỗ trong khoảng thời gian nêu trên mới được cho là bị ảnh hưởng”, công ty nói trong một lời khuyên. “Các bản nâng cấp thủ công của Passwordstate không bị xâm phạm. Bản ghi mật khẩu của khách hàng bị ảnh hưởng có thể đã bị thu thập.”
Diễn biến lần đầu tiên được báo cáo bởi trang tin công nghệ Ba Lan Niebezpiecznik. Không rõ ngay lập tức những kẻ tấn công là ai hoặc bằng cách nào họ đã xâm phạm tính năng cập nhật của trình quản lý mật khẩu. Click Studios cho biết một cuộc điều tra về vụ việc đang diễn ra nhưng lưu ý “số lượng khách hàng bị ảnh hưởng dường như rất thấp.”
Passwordstate là một giải pháp dựa trên web tại chỗ được sử dụng để quản lý mật khẩu doanh nghiệp, cho phép các doanh nghiệp lưu trữ mật khẩu một cách an toàn, tích hợp giải pháp vào ứng dụng của họ và đặt lại mật khẩu trên nhiều hệ thống, trong số những hệ thống khác. Phần mềm được sử dụng bởi 29.000 khách hàng và 370.000 chuyên gia bảo mật và CNTT trên toàn cầu, bao gồm một số công ty trong danh sách Fortune 500 trải dài các ngành dọc như ngân hàng, bảo hiểm, quốc phòng, chính phủ, giáo dục và sản xuất.
Theo một phân tích ban đầu được chia sẻ bởi công ty bảo mật có trụ sở tại Đan Mạch Nhóm CSIS, bản cập nhật có chứa phần mềm độc hại có ở dạng tệp lưu trữ ZIP, “Passwordstate_upgrade.zip”, chứa phiên bản sửa đổi của thư viện có tên “moserware.secretsplitter.dll” (gửi VirusTotal đây và đây).
Đến lượt nó, tệp này đã thiết lập liên hệ với máy chủ từ xa để tìm nạp tải trọng giai đoạn hai (“lift_service_upgrade.zip”) đã trích xuất dữ liệu Passwordstate và xuất thông tin trở lại mạng CDN của đối thủ. Click Studios cho biết máy chủ đã bị gỡ xuống kể từ ngày 22 tháng 4 lúc 7:00 sáng UTC.
Danh sách đầy đủ thông tin bị xâm phạm bao gồm tên máy tính, tên người dùng, tên miền, tên quy trình hiện tại, id quy trình hiện tại, tên và ID của tất cả các quy trình đang chạy, tên của tất cả các dịch vụ đang chạy, tên hiển thị và trạng thái, Địa chỉ máy chủ proxy của phiên bản Passwordstate, tên người dùng và mật khẩu.
Click Studios đã phát hành một gói hotfix điều đó sẽ giúp khách hàng loại bỏ DLL bị giả mạo của kẻ tấn công và ghi đè nó bằng một biến thể hợp pháp. Công ty cũng khuyến nghị các doanh nghiệp đặt lại tất cả thông tin đăng nhập được liên kết với hệ thống bên ngoài (tường lửa, VPN) cũng như cơ sở hạ tầng nội bộ (hệ thống lưu trữ, hệ thống cục bộ) và bất kỳ mật khẩu nào khác được lưu trữ trong Passwordstate.
Sự vi phạm của Passwordstate xảy ra khi các cuộc tấn công vào chuỗi cung ứng đang xuất hiện nhanh chóng, một mối đe dọa mới đối với các công ty phụ thuộc vào các nhà cung cấp phần mềm bên thứ ba cho các hoạt động hàng ngày của họ. Vào tháng 12 năm 2020, một bản cập nhật giả mạo cho SolarWinds Orion phần mềm quản lý mạng đã cài đặt một cửa hậu trên mạng của tối đa 18.000 khách hàng.
Tuần trước, startup kiểm toán phần mềm Codecov cảnh báo khách hàng mà nó phát hiện ra rằng phần mềm của nó đã bị nhiễm một cửa sau sớm nhất vào ngày 31 tháng 1 để có quyền truy cập vào mã thông báo xác thực cho các tài khoản phần mềm nội bộ khác nhau được các nhà phát triển sử dụng. Sự việc không được đưa ra ánh sáng cho đến ngày 1 tháng Tư.
