Rapid7 a été victime de l’attaque de la chaîne d’approvisionnement de Codecov
Table des matières :
Une grande entreprise de cybersécurité, Rapid7, a annoncé qu’un nombre limité de ses dépôts de code source avaient été exposés lors de l’attaque de la chaîne d’approvisionnement Codecov. Selon la déclaration officielle, les dépôts compromis contenaient des informations d’identification internes et des données liées aux alertes pour ses clients de la Gestion de la détection et de la réponse (MDR).
Attaque de la chaîne d’approvisionnement Codecov
Le 15 avril 2021, la société d’audit logiciel Codecov a révélé que son script Bash Uploader avait été compromis par des acteurs inconnus. Ce script peut examiner le code du client et accéder à tous les identifiants et mots de passe présents dans ce code. Par conséquent, les modifications malveillantes de cet utilitaire ont permis aux adversaires d’accéder aux systèmes au sein des réseaux des utilisateurs de Codecov, y compris le code produit que les entreprises développent et distribuent à d’autres. De plus, puisque Bash Uploader peut télécharger des données en dehors des réseaux des clients, cela a fourni aux pirates un moyen facile d’exfiltrer les informations volées.
La compromission est survenue entre janvier et avril 2021 et a permis aux adversaires d’accéder aux jetons d’authentification, clés, détails de connexion, comptes de service, et autres informations confidentielles appartenant aux clients. En conséquence, des centaines d’utilisateurs ont été touchés, voyant leurs données dans les environnements d’intégration continue (CI) des utilisateurs discréditées.
Rapid7 a confirmé qu’elle avait été victime de l’attaque Codecov. En particulier, l’utilitaire malveillant Bash Uploader a été installé sur le serveur CI de l’entreprise utilisé par le fournisseur pour développer et tester des outils pour les clients MDR. Bien que les intrus n’aient pas pu modifier le code produit lui-même, les pirates ont réussi à accéder à un ensemble limité de dépôts de code source contenant les détails de connexion des clients et d’autres informations sensibles. Toutes les informations d’identification ont déjà été modifiées pour empêcher tout abus ultérieur. L’entreprise a également contacté tous les utilisateurs concernés pour s’assurer qu’ils ont pris les mesures d’atténuation appropriées.
Détection des attaques
Pour vérifier si votre organisation a été abusée lors de la violation de Rapid7 et prévenir d’autres compromissions, vous pouvez télécharger une règle Sigma communautaire déjà disponible sur le Threat Detection Marketplace.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
La règle possède des traductions dans les langues suivantes :
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK :
Tactiques : Accès initial
Techniques : Compromission de la chaîne d’approvisionnement (T1195)
Obtenez un abonnement au Threat Detection Marketplace, une plateforme de contenu en tant que service (CaaS) de premier plan qui fournit du contenu SOC qualifié, inter-vendeur et inter-outil adapté à 23 technologies SIEM, EDR et NTDR de premier plan sur le marché. Notre contenu est continuellement enrichi de contexte sur les menaces supplémentaires, vérifié, contrôlé pour l’impact, l’efficacité, les faux positifs et d’autres considérations opérationnelles grâce à une série d’audits d’assurance qualité. Vous souhaitez créer votre propre contenu de détection ? Rejoignez notre programme de primes aux menaces !
