Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
继Impresa、英伟达、三星、Mercado Libre、沃达丰、育碧、微软等高价值目标后,LAPSUS$ 团伙声称攻陷很多政府机构和企业都在使用的认证服务提供商Okta。Okta 公司回应称,2022年1月份其第三方客户支持工程师账户受陷。微软证实称该组织攻陷员工账户进而攻陷源代码仓库。Lapsus$ 组织称今年“第二次”攻陷LG电子 (LGE)公司。
Okta 公司证实遭攻击
Okta公司是一家上市公司,市值超过60亿美元,全球员工超过5000名,为大型组织机构如西门子、ITV、Pret a Manager、Starling Bank等 提供身份管理和认证服务。
本周二,Lapsus$ 组织在 Telegram 频道发布截屏称访问了身份和访问管理 (IAM) 解决方案巨头 Okta 的后端管理控制台和客户数据。Lapsus$ 组织称获得 Okta.com 的 “superuser/admin” 访问权限并已经访问了Okta 的客户数据。从该组织发布的系统时间来看,事件发生在2022年1月21日,即事件发生在数月前。Okta 公司的首席执行官Todd McKinnon表示,“迄今为止,调查结果显示除了1月份检测到的活动外,目前并无证据表明恶意活动正在进行。”
然而,从Lapsus$ 组织发布的截屏来看,该组织可使用Okta 公司的管理控制台更改客户密码。Lapsus$ 组织也称他们攻陷Okta 公司的目的并非窃取该公司的数据库而是攻击其客户。很多知名企业都在使用Okta 公司服务,如 Fedex、Peloton、SONOS、T-Mobile、惠普企业和 JetBlue 等。
Okta 完成调查表示,客户无需采取任何补救措施。
Lapsus$ 驳斥Okta 调查报告
就在 Okta 发布报告后不久,Lapsus$ 进行了驳斥,并发布如下言论:
我真享受Okta 发布的谎言。
(1) 我们并未攻陷任何笔记本?它可是瘦客户端哟。
(2) “Okta 检测到对第三方提供商处客户支持工程师账户的攻陷,但攻陷并未成功”——我仍然不确定是不是不成功的尝试?登录到超级用户门户,具有对95%的客户的密码和MFA重置能力不算成功吗?
(3) 对于支持零信任的企业,“支持工程师”似乎对Slack具有过多权限?8600个频道?
(4) “支持工程师也能重置用户的密码和MFA因素,但无法获取这些密码”——什么?我希望没人能够读取密码?不仅仅是支持工程师而已,哈哈——你是在暗示密码以明文形式存储吗?
(5) 你说笔记本受陷?如果是这样,你能报告的“可疑真实IP地址”是啥?
(6) 对Okta客户的潜在影响不是有限的,我非常确定重置密码和MFA将导致很多客户端系统遭完全攻陷。
(7) 如果你如此注重透明度,那不如请其它公司如Mandiant进行调查并发布报告吧,我肯定它们的报告和你的大不相同。
另外,Lapsus$ 组织还提到Okta的行为不符合其所设立的标准。该组织指出:
Okta 的ISMP 包括遵守并理性测试ISMP密钥控制、系统和程序,验证它们已正确实现并有效应对解决所发现威胁和风险。这类测试包括:内部风险评估;ISO27001、27002、27017和27018认证;NIST指南;以及认证第三方审计师执行的年度SOC2 Type II(或后续标准)审计。我觉得将AWS 密钥存储在Slack 中不符合任何一条标准吧?
而Okta 公司发布最新声明称1月份,约有2.5%的客户受影响,和之前其CEO所称的“不成功的尝试”说法相悖。
微软发布分析报告
此前,Lapsus$ 组织称已攻陷微软的内部 Azure DevOps 服务器。本周一,该组织泄露了微软被盗的37GB 源代码,涉及Bing、Cortana 和其它微软项目。
微软发布报告证实其一名员工的账户遭攻陷,导致Lapsus$组织对源代码仓库具有有限的访问权限,但指出客户代码或数据不受影响,并以迅速采取补救措施。
微软发布分析报告将该组织命名为 “DEV-0537”,它最开始攻击位于英国和南美的组织机构,之后攻击全球目标,涉及政府、技术、电信、媒体、零售和医保行业,此外该组织被指接管密币交易所的个人用户账户并提取密币。
微软指出,Lapsus$ 组织的主要目的就是获取凭证。Lapsus$ 组织并不会隐藏行踪,而是在社交媒体上大张旗鼓地打广告称购买目标组织机构的凭据,还利用其它威胁组织很少使用的技术如基于电话的社工如访问员工个人邮件账户、向组织机构的员工、供应商或业务伙伴购买凭据访问权限和MFA认证等等。该组织利用社工获取目标的业务运营信息如团队结构、帮助台、危机响应工作流、供应链关系等。这些社工和以身份为中心的技术和内部风险计划类似,但同时具有处理恶意外部威胁相关的响应时间短的特点。
微软在报告中提出了一些应对措施建议:
增强多因素认证机制执行,确保员工、厂商等人员的身份安全。
要求使用健康可信的端点。
使用现代的VPN认证选项。
增强并监控云安全态势。
提升社工攻击防御意识。
建立运营安全流程,监控各类通信信道中的越权人员和认证情况。
分析详情可见文末“原文链接”部分。
代码卫士试用地址:https://codesafe.qianxin.com/
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
LAPSUS$声称盗取源代码仓库,微软正在调查
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
Node-ipc 热门包作者投毒“社死‘’,谁来保护开源软件供应链安全?
堪比“脏牛”!“脏管道” 漏洞可获得Linux 所有主流发行版本的root权限
漏洞Dirty COW:影响Linux系统以及安卓设备
第三方支付处理厂商软件有漏洞,日本美容零售商Acro 10万支付卡信息遭攻击
Linux 内核 cgroups 新漏洞可导致攻击者逃逸容器
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
Apache Cassandra 开源数据库软件修复高危RCE漏洞
2021年软件供应链攻击数量激增300%+
热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管
详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)
SAP 严重漏洞可导致供应链攻击
Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持
Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱
美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
NIST 发布关于使用“行政令-关键软件”的安全措施指南
NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件
SolarWinds 攻击者再次发动供应链攻击
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
软件供应链安全现状分析与对策建议
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司
开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
原文链接
https://thehackernews.com/2022/03/lapsus-hackers-claim-to-have-breached.html
https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/
https://www.bleepingcomputer.com/news/security/okta-investigating-claims-of-customer-data-breach-from-lapsus-group/
https://fancybearfriends.org/2022/03/22/okta-gone/
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Okta CEO 改口证实第三方账户受陷且影响客户,LAPSUS$扬言发动供应链攻击相关推荐
- 黑客攻陷Okta发动供应链攻击,影响130多家组织机构
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 第三方厂商受陷,数百万 ATT 客户数据遭泄露
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国移动手机运营商AT&T正在通知数百万名无线客户称,客户的专有网络信息 (CPNI) 在某第三方厂商遭数据泄露事件后受陷. AT&am ...
- 第三方app受陷,Atlassian 数据被盗
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 通过skimmer发动供应链攻击,苏富比地产100多个网站受影响
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Linux 应用市场易受RCE和供应链攻击,多个0day未修复
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 思科警告:IOS 路由器中含有多个严重缺陷,可导致“系统完全受陷”
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科在关于 IOS XE 和 IOS 网络软件的6月3日半年度安全公告中披露了四个严重的安全缺陷,它们影响使用 IOS XE 和 IO ...
- 什么是第三方账户?第三方支付中账户体系分析
一.什么是账户? 从会计学上来看,账户是根据会计科目设置的,具有一定格式和结构,用于分类反馈会计要素增加变动情况及其结果的载体.设置账户是会计核算的重要方法之一. 账户按其提供的信息详细程度和统驭关系 ...
- Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- mysql+影响的行数+获取_我们如何获得受MySQL查询影响的总行数?
MySQL ROW_COUNT()可用于获取受MySQL查询影响的总行数.为了说明这一点,我们正在创建一个过程,借助该过程,我们可以在表中插入记录,并向我们显示受影响的行数. 示例mysql> ...
最新文章
- 视频直播技术详解(2)采集
- 计算机学院大学生程序设计竞赛(2015’11)1007 油菜花王国
- TouTiao开源项目 分析笔记9 实现一个问答主页面
- java jdk1.5 对for循环遍历的优化
- 所有的工程师都鄙视 php 工程师.,程序员的鄙视链(所有工程师都鄙视php工程师23333)...
- ios常用数据库、完美无缺
- 【普通の随笔】6.30
- 市场调研策划书_市场调查计划书模板
- linux 5.8 设备的mac地址与预想的不符 已忽略,解决“eth0设备的MAC 址与预想的不符,忽略”...
- 「转录组」WGCNA实战原理两不误
- 温度转换 python
- Hashtable的深拷贝
- [NOIP2015] 斗地主
- ELGamal算法的编程实现
- caffe的安装配置(CUDA7.5+VS2013)
- 辰皇怎么过鸿蒙,最新版 鸿蒙副本快速通关和爆神符攻略
- 泰文组合规则,泰文变形规则
- centos7.2安装五笔输入法的方法
- python生成二维码的库——qrcode
- 【孙伟】网页设计(切图)视频教程-孙伟-专题视频课程
热门文章
- css碎步测量,饮水隧洞测量实习日记.doc
- oracle 游标(oracle游标查询)
- OKapi BM25算法
- 踏遍青山情未老 —— 九山顶重游记(三)
- 2018同城货运行业分析报告
- jzoj 1006 1007 题解
- 【标日初级上册】第六单元知识点总结
- 静态HTML网页设计作品 我的家乡-云南(9页) HTML+CSS+JavaScript 关于我的家乡的HTML网页设计-----云南
- 涨知识,2022上半年软考准考证打印问题解答
- 实验室-NO.2 python 读取3D obj文件 + 特征点显示 + 凹凸点分类