Rapid7 Ha Sido Víctima del Ataque a la Cadena de Suministro de Codecov
Tabla de contenidos:
Una importante empresa de ciberseguridad, Rapid7, anunció que un número limitado de sus repositorios de código fuente fueron expuestos en el curso del ataque a la cadena de suministro de Codecov. Según el comunicado oficial, los repositorios comprometidos contenían credenciales internas y datos relacionados con alertas para sus clientes de Managed Detection and Response (MDR).
Ataque a la Cadena de Suministro de Codecov
El 15 de abril de 2021, una empresa de auditoría de software, Codecov reveló que su script Bash Uploader había sido backdoorado por actores desconocidos. Este script puede investigar el código del cliente y acceder a cualquier inicio de sesión y contraseña dentro de ese código. En consecuencia, las modificaciones nefastas de esta utilidad permitieron a los adversarios alcanzar sistemas dentro de las redes de los usuarios de Codecov, incluido el código de producto que las empresas están desarrollando y distribuyendo a otros. Además, como Bash Uploader puede cargar datos fuera de las redes de los clientes, proporcionó a los piratas informáticos una manera fácil de exfiltrar la información robada.
La compromisión ocurrió entre enero y abril de 2021 y permitió a los adversarios alcanzar tokens de autenticación, claves, detalles de inicio de sesión, cuentas de servicio y otra información confidencial perteneciente a clientes. Como resultado, cientos de usuarios fueron afectados, teniendo su información en los entornos de integración continua (CI) desacreditada.
Rapid7 confirmó que había sido víctima del ataque Codecov. Particularmente, la utilidad maliciosa Bash Uploader fue instalada en el servidor CI de la empresa, el cual es utilizado por el proveedor para desarrollar y probar herramientas para clientes MDR. Aunque los intrusos no tuvieron la capacidad de alterar el código del producto en sí, los piratas informáticos consiguieron alcanzar un pequeño conjunto de repositorios de código fuente que contenían detalles de inicio de sesión de clientes y otra información sensible. Todas las credenciales ya han sido cambiadas para prevenir más abusos. Además, la empresa contactó a todos los usuarios afectados para asegurar que tomaran las medidas de mitigación apropiadas.
Detección de Ataques
Para comprobar si su organización ha sido abusada durante la brecha de Rapid7 y prevenir más compromisos, puede descargar una regla Sigma de comunidad ya disponible en el Threat Detection Marketplace.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
La regla tiene traducciones a los siguientes lenguajes:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK:
Tácticas: Acceso Inicial
Técnicas: Compromiso de la Cadena de Suministro (T1195)
Adquiera una suscripción a Threat Detection Marketplace, una plataforma líder mundial de Content-as-a-Service (CaaS) que proporciona contenido SOC calificado, multiplataforma y multiherramienta adaptado a 23 tecnologías SIEM, EDR y NTDR líderes del mercado. Nuestro contenido se enriquece continuamente con contexto adicional de amenazas, verificado, comprobado por impacto, eficiencia, falsos positivos y otras consideraciones operativas a través de una serie de auditorías de aseguramiento de calidad. ¿Quiere crear su propio contenido de detección? ¡Únase a nuestro Programa Threat Bounty!
