Ciberdelincuentes hackearon computadora de ingeniero de LastPass y posteriormente accedieron a la red corporativa
LastPass reveló más información sobre un “segundo ataque coordinado”, en el que un atacante accedió y robó datos de los servidores de almacenamiento en la nube de Amazon AWS durante más de dos meses.
La empresa reveló un incidente en diciembre en el que los ciberdelincuentes robaron datos de la bóveda de contraseñas parcialmente cifradas e información del cliente.
La compañía reveló recientemente cómo los ciberdelincuentes realizaron este ataque, afirmando que usaron información robada en una infracción de agosto, información de otra infracción de datos. Asimismo, usaron una vulnerabilidad de ejecución remota de código para instalar un registrador de teclas (keylogger) en la computadora de un ingeniero senior de DevOps.
LastPass dice que este segundo ataque coordinado usó los datos robados de la primera infracción para obtener acceso a los cubos cifrados de Amazon S3 de la empresa.
Ingeniero hackeado
Como solo cuatro ingenieros de LastPass DevOps tenían acceso a estas claves de descifrado, los atacantes apuntaron a uno de los ingenieros. En última instancia, los hackers instalaron con éxito un registrador de teclas en el dispositivo del empleado al explotar una vulnerabilidad de ejecución remota de código en un paquete de software multimedia de terceros.
“El atacante pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA, y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps”.
“Los hackers luego exportaron los registros nativos de la bóveda corporativa y el contenido de las carpetas compartidas, que contenían notas seguras cifradas con claves de acceso y descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas.”
Información publicada en un informe reciente
El uso de credenciales válidas dificultó que los investigadores de la empresa detectaran la actividad de los atacantes. Esto permitió a los hackers acceder y robar datos de los servidores de almacenamiento en la nube de LastPass durante más de dos meses, entre el 12 de agosto de 2022 y el 26 de octubre de 2022.
Atacantes accedieron a una gran cantidad de datos.
Como parte de la divulgación de hoy, LastPass ha publicado información más detallada sobre qué información del cliente fue robada en el ataque.
LastPass finalmente detectó el comportamiento anómalo a través de AWS GuardDuty Alerts. Esto ocurrió cuando el hacker intentó usar los roles de Cloud Identity and Access Management (IAM) para realizar actividades no autorizadas.
La compañía dice que desde entonces ha actualizado su postura de seguridad, incluida la rotación de credenciales confidenciales y claves/tokens de autenticación. Asimismo, está aplicando la revocación de certificados, la adición de registros y alertas adicionales y la aplicación de políticas de seguridad más estrictas.
Según el cliente en particular, los datos robados son amplios y variados, desde códigos de autenticación multifactor (MFA), secretos de integración de API de MFA y clave de componente de Split knowledge (“K2”) para clientes comerciales federados.
A continuación, te mostramos una lista completa de los datos robados. También, puedes encontrar un cuadro más detallado y más fácil de leer en la página de soporte de Lastpass:
Resumen de los datos a los que se accedió en el Incidente 1:
- Repositorios de código fuente y desarrollo bajo demanda basados en la nube – esto incluía 14 de 200 repositorios de software.
- Scripts internos de los repositorios – estos contenían certificados y secretos de LastPass.
- Documentación interna – información técnica que describe cómo funciona el entorno de desarrollo.
Resumen de los datos a los que se accedió en el Incidente 2:
- Secretos de DevOps. Secretos restringidos que se utilizaron para obtener acceso a nuestro almacenamiento de respaldo basado en la nube.
- Almacenamiento de copias de seguridad basado en la nube. Datos de configuración contenidos, secretos de API, secretos de integración de terceros, metadatos del cliente y copias de seguridad de todos los datos de la bóveda del cliente. Todos los datos confidenciales de la bóveda del cliente, excepto las URLs, las rutas de archivo del software LastPass para Windows o macOS instalado y ciertos casos de uso que involucran direcciones de correo electrónico. No obstante, estas se cifraron con el modelo Zero knowledge y solo se puede descifrar con una clave de cifrado única derivada de la contraseña maestra de cada usuario. Como recordatorio, LastPass nunca conoce las contraseñas maestras de los usuarios finales y LastPass no las almacena ni las mantiene; por lo tanto, no se incluyeron en los datos extraídos.
- Copia de seguridad de la base de datos MFA de de LastPass. Esta contenía copias tokens de LastPass Authenticator, números de teléfono utilizados para la opción de copia de seguridad de MFA (si estaba habilitada), así como un componente de conocimiento parcial (la “clave K2”) utilizada para la federación de LastPass (si estaba habilitada). La base de datos estaba cifrada, pero la clave de descifrado almacenada por separado se incluyó en los secretos robados por el atacante durante el segundo incidente.
Medidas
Todos los boletines de soporte actuales no son fáciles de encontrar, ninguno de ellos figura en los motores de búsqueda, ya que la empresa agregó etiquetas HTML <meta name="robots" content="noindex">
al documento para evitar que los motores de búsqueda los indexen.
LastPass publicó un PDF titulado “Actualización de incidentes de seguridad y acciones recomendadas”, que contiene más información sobre el incidente y los datos robados.
La empresa también creó documentos de soporte que contienen las acciones recomendadas que deben tomar los clientes gratuitos, premium y los administradores comerciales de LastPass .
Estos boletines contienen pasos recomendados para fortalecer aún más su cuenta de LastPass y su integración.