Vercel ซีอีโอ Guillermo Rauch เผยความคืบหน้าการสืบสวนบน X เมื่อวันที่ 22 เมษายน ตามเวลามาตรฐานแปซิฟิกของสหรัฐอเมริกา โดยระบุว่าทีมสืบสวนได้ดำเนินการแล้วกับบันทึกการใช้งาน (log) ของ Vercel ทั้งทั้งระบบทั้งเครือข่ายและ API เกือบ 1 PB ขอบเขตการสืบสวนกว้างกว่ากรณีการบุกรุกของ Context.ai อย่างมีนัยสำคัญ Rauch กล่าวว่า ผู้โจมตีได้ขโมยกุญแจบัญชีของ Vercel โดยกระจายมัลแวร์ไปยังคอมพิวเตอร์ และได้แจ้งผู้เสียหายแล้ว
รูปแบบการโจมตีและพฤติกรรม: รายละเอียดการสืบสวน
จากหน้าการสืบสวนด้านความปลอดภัยของ Vercel และโพสต์สาธารณะบน X ของ Guillermo Rauch เหตุการณ์ครั้งนี้มีสาเหตุมาจากการที่แอป Google Workspace OAuth ของเครื่องมือ AI บุคคลที่สาม Context.ai ซึ่งพนักงานของ Vercel รายหนึ่งใช้งานอยู่ถูกบุกรุก ผู้โจมตีใช้สิทธิ์การเข้าถึงผ่านเครื่องมือนั้น ค่อยๆ ได้บัญชี Google Workspace ของพนักงานแต่ละรายและบัญชี Vercel จากนั้นเมื่อเข้าไปอยู่ในสภาพแวดล้อมของ Vercel ก็ทำการไล่ตรวจสอบและถอดรหัสตัวแปรสภาพแวดล้อมที่ไม่อ่อนไหวอย่างเป็นระบบ
Rauch ระบุในโพสต์บน X ว่า จากบันทึกพบว่า หลังจากผู้โจมตีได้กุญแจแล้ว จะทำการเรียก API แบบรวดเร็วและครอบคลุม โดยเน้นการไล่แจกแจงตัวแปรสภาพแวดล้อมที่ไม่อ่อนไหว ซึ่งก่อให้เกิดรูปแบบพฤติกรรมที่สามารถระบุซ้ำได้ Vercel ประเมินว่าผู้โจมตีมีความรู้เชิงลึกเกี่ยวกับอินเทอร์เฟซ API ของผลิตภัณฑ์ Vercel ระดับเทคนิคสูงมาก
การค้นพบเพิ่มเติมหลังการขยายการสืบสวนและความร่วมมือในอุตสาหกรรม
จากการอัปเดตความปลอดภัยของ Vercel วันที่ 22 เมษายน หลังจากการขยายการสืบสวน พบการค้นพบเพิ่มเติม 2 รายการดังนี้:
· พบว่ามีบัญชีอื่นจำนวนเล็กน้อยถูกบุกรุกจากเหตุการณ์ครั้งนี้ และลูกค้าที่ได้รับผลกระทบได้รับการแจ้งแล้ว
· พบว่าบัญชีลูกค้าบางส่วนมีบันทึกการถูกบุกรุกมาก่อนซึ่งไม่เกี่ยวข้องกับเหตุการณ์ครั้งนี้ คาดว่าเกิดจากวิศวกรรมสังคม มัลแวร์ หรือวิธีอื่นๆ และลูกค้าที่เกี่ยวข้องได้รับการแจ้งแล้ว
Vercel ได้เพิ่มความร่วมมือกับพันธมิตรในอุตสาหกรรมอย่าง Microsoft, AWS และ Wiz และร่วมมือกับ Google Mandiant และหน่วยงานบังคับใช้กฎหมายเพื่อทำการสืบสวน
จากการอัปเดตความปลอดภัยของ Vercel วันที่ 20 เมษายน ทีมความปลอดภัยของ Vercel ร่วมมือกับ GitHub, Microsoft, npm และ Socket เพื่อยืนยันว่าแพ็กเกจ npm ทั้งหมดที่ Vercel เผยแพร่ไม่ได้รับผลกระทบ ไม่มีหลักฐานการดัดแปลง การประเมินความปลอดภัยของห่วงโซ่อุปทานเป็นไปตามปกติ Vercel ยังได้เปิดเผยตัวชี้วัดการบุกรุก (IOC) ให้ชุมชนตรวจสอบ รวมถึงรหัสของแอป OAuth ที่เกี่ยวข้อง: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com; Vercel แนะนำให้ผู้ดูแลระบบ Google Workspace ตรวจสอบว่ามีการใช้งานแอปดังกล่าวหรือไม่
คำถามที่พบบ่อย
เวกเซลเหตุการณ์ความปลอดภัยครั้งนี้มีเวกเตอร์การโจมตีหลักคืออะไร?
ตามหน้าการสืบสวนด้านความปลอดภัยของ Vercel เหตุการณ์ดังกล่าวเกิดจากการที่แอป Google Workspace OAuth ของเครื่องมือ AI บุคคลที่สาม Context.ai ที่พนักงานของ Vercel ใช้งานอยู่ถูกบุกรุก ผู้โจมตีเข้าถึงสิทธิ์ผ่านเครื่องมือนั้น ค่อยๆ ได้บัญชี Vercel ของพนักงาน และเข้าไปในสภาพแวดล้อมของ Vercel เพื่อทำการไล่ตรวจสอบและถอดรหัสตัวแปรสภาพแวดล้อมที่ไม่อ่อนไหว
ขอบเขตการโจมตีที่ CEO ของ Vercel ยืนยันแล้วเกินกว่าขอบเขตเริ่มต้นของ Context.ai หรือไม่?
ตามโพสต์สาธารณะบน X ของ Guillermo Rauch เมื่อวันที่ 22 เมษายน ตามเวลามาตรฐานแปซิฟิกของสหรัฐอเมริกา ข้อมูลข่าวกรองภัยคุกคามชี้ว่ากิจกรรมของผู้โจมตีได้ขยายเกินกว่าขอบเขตการบุกรุกเพียงครั้งเดียวของ Context.ai โดยขโมยกุญแจการเข้าถึงของผู้ให้บริการหลายรายในเครือข่ายที่กว้างขึ้นผ่านมัลแวร์ และผู้ต้องสงสัยรายอื่นที่อาจเป็นเหยื่อได้รับการแจ้งให้สลับเปลี่ยนข้อมูลรับรองแล้ว
แพ็กเกจ npm ที่ Vercel เผยแพร่ได้รับผลกระทบจากเหตุการณ์ความปลอดภัยครั้งนี้หรือไม่?
ตามการอัปเดตความปลอดภัยของ Vercel วันที่ 20 เมษายน ทีมความปลอดภัยของ Vercel ร่วมมือกับ GitHub, Microsoft, npm และ Socket เพื่อยืนยันว่าแพ็กเกจ npm ทั้งหมดที่ Vercel เผยแพร่ไม่ได้รับผลกระทบ ไม่มีหลักฐานการดัดแปลง การประเมินความปลอดภัยของห่วงโซ่อุปทานเป็นไปตามปกติ
