Rapid7 è Caduta Vittima dell’Attacco alla Supply Chain di Codecov
Indice:
Una grande azienda di cybersecurity, Rapid7, ha annunciato che un numero limitato dei suoi repository di codice sorgente è stato esposto nel corso dell’attacco alla catena di fornitura di Codecov. Secondo la dichiarazione ufficiale, i repository compromessi contenevano credenziali interne e dati relativi agli allarmi per i suoi clienti di Managed Detection and Response (MDR).
Attacco alla Catena di Fornitura di Codecov
Il 15 aprile 2021, un’azienda di auditing software, Codecov ha rivelato che il suo script Bash Uploader era stato compromesso da attori sconosciuti. Questo script può esaminare il codice del cliente e accedere a qualsiasi login e password all’interno di tale codice. Di conseguenza, le modifiche nefaste a tale utility hanno permesso agli avversari di raggiungere sistemi all’interno delle reti degli utenti di Codecov, incluso il codice prodotto che le aziende stanno sviluppando e distribuendo ad altri. Inoltre, dato che Bash Uploader può caricare dati al di fuori delle reti dei clienti, ha fornito ai hacker un modo semplice per esfiltrare le informazioni rubate.
Il compromesso si è verificato tra gennaio e aprile 2021 e ha permesso agli avversari di accedere a token di autenticazione, chiavi, dettagli di accesso, account di servizio e altre informazioni riservate appartenenti ai clienti. Di conseguenza, centinaia di utenti sono stati colpiti, avendo i loro dati all’interno degli ambienti di integrazione continua (CI) degli utenti discreditati.
Rapid7 ha confermato di essere caduta vittima dell’attacco Codecov. In particolare, l’utilità Bash Uploader malevola è stata installata sul server CI della compagnia, utilizzato dal fornitore per sviluppare e testare strumenti per i clienti MDR. Sebbene gli intrusi non abbiano avuto la possibilità di alterare il codice del prodotto stesso, gli hacker sono riusciti a raggiungere un piccolo set di repository di codice sorgente contenenti i dettagli di accesso dei clienti e altre informazioni sensibili. Tutte le credenziali sono già state cambiate per prevenire ulteriori abusi. Inoltre, l’azienda ha contattato tutti gli utenti interessati per garantire che prendessero misure di mitigazione appropriate.
Rilevamento dell’attacco
Per verificare se la tua organizzazione è stata abusata nel corso della violazione di Rapid7 e prevenire ulteriori compromessi, puoi scaricare una regola Sigma della comunità già disponibile nel Threat Detection Marketplace.
https://tdm.socprime.com/tdm/info/ixdVuRZNbGLA/#sigma
La regola ha traduzioni nelle seguenti lingue:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: SentinelOne
MITRE ATT&CK:
Tattiche: Accesso Iniziale
Tecniche: Compromissione della Catena di Fornitura (T1195)
Ottieni un abbonamento a Threat Detection Marketplace, una piattaforma leader mondiale di Content-as-a-Service (CaaS) che fornisce contenuti SOC qualificati, cross-vendor e cross-tool su misura per 23 tecnologie SIEM, EDR e NTDR leader di mercato. I nostri contenuti sono continuamente arricchiti con ulteriore contesto di minaccia, verificati, controllati per impatto, efficienza, falsi positivi e altre considerazioni operative attraverso una serie di audit di garanzia della qualità. Vuoi creare il tuo contenuto di rilevamento? Unisciti al nostro Threat Bounty Program!
