به طور خلاصه
- پلتفرم ابری Vercel جزئیات یک حادثه امنیتی را که برخی از اعتبارنامههای مشتریان را به خطر انداخته، افشا کرده است.
- مدیرعامل این شرکت، Guillermo Raugh، فاش کرد که گروه مهاجم «بسیار پیچیده» بوده و احتمالاً از ابزارهای AI استفاده کرده است.
- بسیاری از رابطهای کاربری کریپتو از Vercel برای میزبانی UI خود استفاده میکنند و شرکت توصیه به تغییر فوری اعتبارنامهها کرده است.
مدیرعامل Vercel گفت که یک گروه هکری «بسیار پیچیده» و احتمالاً با کمک AI، پشت یک حادثه امنیتی اخیر بوده که برخی از اعتبارنامههای مشتریان را پس از نقض سیستمهای داخلی افشا کرده است.
مدیرعامل Guillermo Rauch در توییتر نوشت: «ما معتقدیم که گروه مهاجم بسیار پیچیده است و من قویاً مشکوکم که به طور قابل توجهی توسط AI تسریع شده است» و افزود که مهاجمان «با سرعت شگفتانگیز و درک عمیقی از Vercel حرکت کردند».
این شرکت که یک پلتفرم ابری برای توسعهدهندگان است، روز یکشنبه اعلام کرد که دسترسی غیرمجاز به برخی سیستمهای داخلی را شناسایی کرده و به طور فعال در حال بررسی است. این حادثه بر زیرمجموعه محدودی از مشتریان تأثیر گذاشت که اعتبارنامههای آنها به خطر افتاده بود و شرکت را وادار کرد تا توصیه به تغییر فوری اعتبارنامهها کند.
این نقض از به خطر افتادن Context.ai، یک ابزار AI شخص ثالث که توسط یک کارمند Vercel استفاده میشد، سرچشمه گرفت که به مهاجمان اجازه داد حساب Google Workspace کارمند را تصرف کرده و به برخی از محیطهای Vercel و متغیرهای محیطی غیرحساس دسترسی پیدا کنند.
این افشاگری نگرانیهای فزاینده درباره خطرات امنیتی ناشی از یکپارچهسازیهای شخص ثالث و ابزارهای مبتنی بر AI را برجسته میکند، زیرا مهاجمان به طور فزایندهای آسیبپذیریهای زنجیره تأمین را برای به دست آوردن جایگاه در داخل سازمانها بهرهبرداری میکنند.
Vercel و کریپتو
Natalie Newson، محقق ارشد امنیت بلاک چین CertiK، به Decrypt گفت که این رویداد فوریت را به ویژه در میان توسعهدهندگان کریپتو ایجاد کرده است. او گفت: «از آنجا که بسیاری از رابطهای کاربری کریپتو از Vercel برای میزبانی UI خود استفاده میکنند، یک نقض میتواند به مهاجمان اجازه دهد یک wallet drainer کاشت کنند. کاربرانی که با یک صفحه قابل اعتماد تعامل دارند، انتظار وقوع هیچ چیز مخربی را نخواهند داشت» و افزود: «سوءاستفادهها در فضای کریپتو میتوانند منجر به ضررهای مالی قابل توجهی شوند.»
حتی اگر قراردادهای هوشمند امن بمانند، به خطر افتادن فرانت اند همچنان خطراتی را ایجاد میکند. او اشاره کرد: «به خطر افتادن فرانت اند میتواند به ویژه برای کاربران نهایی مخرب باشد» و به حادثه CoW Swap در ماه آوریل اشاره کرد که در آن یک کاربر شاهد خالی شدن 316 هزار دلار از کیف پول خود بود.
او گفت که روند رو به رشد AI عامل منجر شده است که بسیاری از کاربران جدیدترین برنامهها و افزونهها را برای بهبود بهرهوری منتشر کنند و بازیگران مخرب از این روند سوءاستفاده میکنند. او گفت: «شرکتها باید هنگام استفاده از برنامهها و افزونههای جدید AI بسیار محتاط باشند و در عین حال مدلهای امنیتی داخلی را بررسی کنند تا اطمینان حاصل شود که اگر نقضی رخ دهد، تأثیر تا حد امکان محدود باقی بماند.»
Rauch گفت که حمله از طریق «یک سری مانورها» آغاز شد که از حساب کارمند به خطر افتاده شروع شد و به دسترسی گستردهتر به محیطهای داخلی ارتقا یافت. در حالی که Vercel متغیرهای محیطی مشتری را به صورت رمزگذاریشده در حالت استراحت ذخیره میکند، شرکت اجازه میدهد برخی از متغیرها به عنوان غیرحساس علامتگذاری شوند که مهاجمان توانستند به آنها دسترسی پیدا کنند.
شرکت معتقد است که تعداد مشتریان آسیبدیده محدود است و گفته است که به عنوان یک اولویت با کسانی که احتماالً تحت تأثیر قرار گرفتهاند تماس گرفته است. Vercel از آن زمان اقدامات نظارتی و حفاظتی اضافی را مستقر کرده است و همچنین زنجیره تأمین خود را برای اطمینان از ایمنی پروژههایی مانند Next.js و Turbopack بررسی میکند.
John Woods، مدیرعامل Nillion، به Decrypt گفت که «زیرمجموعه محدود» معمولاً به این معنی است که مجموعه مشتریان آسیبدیده مشاهدهشده تاکنون محدود به نظر میرسد، اما لزوماً حرکت داخلی گستردهتر یا خطر downstream وسیعتر را رد نمیکند. Woods گفت: «در پلتفرمهای ابری مدرن، شعاع انفجار فقط در مورد تعداد مشتریانی که در ابتدا به وضوح تحت تأثیر قرار گرفتند نیست، بلکه در مورد آن چیزی است که سیستمهای به خطر افتاده میتوانند در پشت صحنه به آن دسترسی پیدا کنند.»
او توصیه کرد که شرکتها از انواع بهترین شیوهها برای جلوگیری از این نوع موقعیت پیروی کنند. او گفت: «اعطای OAuth را قفل کنید، از کمترین امتیاز استفاده کنید، کنترلهای سختگیرانهای را پیرامون متغیرهای محیطی حساس اعمال کنید، استقرار فرانت اند را از مقام مخفی یا امضا جدا کنید و استقرارها و لاگها را به دقت نظارت کنید.»
او افزود: «برای هر کسی که اعتبارنامههایش ممکن است گرفته شده باشد، اولویت فوری لغو دسترسی، تغییر اعتبارنامهها و بررسی هر سیستمی است که آن اعتبارنامهها میتوانند به آن دسترسی پیدا کنند» و خاطرنشان کرد: «در سطح بالاتر، درس این است که از معماریهایی که یک نقض میتواند به موارد بسیار زیادی دسترسی پیدا کند، اجتناب کنید.»
هنوز مشخص نیست چه کسی پشت این حمله است. اسکرینشاتهایی از یک کاربر با نام گروه هکری «ShinyHunters» منتشر شده است که در یک انجمن ادعا کرده است Vercel را نقض کرده و در حال فروش دسترسی به دادههای شرکت، از جمله کد منبع، API keys و سیستمهای داخلی است.
این بازیگر، که ممکن است جعل هویت ShinyHunters نیز باشد، همچنین ادعا کرده است که در مورد درخواست باج 2 میلیون دلاری با شرکت بحث کرده است. Vercel فوراً به درخواست تأیید این ادعاها پاسخ نداد.
خبرنامه گزارش روزانه
هر روز را با مهمترین اخبار در حال حاضر، به علاوه ویژگیهای اصلی، پادکست، ویدیوها و موارد دیگر شروع کنید.
منبع: https://decrypt.co/364869/highly-sophisticated-ai-powered-hackers-behind-vercel-breach-ceo
