網路叫車平臺大廠Uber在9月中旬,傳出遭一名青少年駭入的消息,對方甚至利用Uber員工的漏洞懸賞平臺HackerOne帳號,張貼訊息,聲稱取得該公司內部多項系統帳號,還冒用員工身分登入Uber的Slack平臺貼文。
經過一個週末的調查,Uber在9月16日發布資安事件公告,根據初步調查結果所示,駭客取得約聘員工帳密入侵,導致部分系統遭存取,而攻擊者的身分,則是曾宣稱駭入微軟及三星的駭客組織Lapsus$。
整起事件的發生,源於一名Uber EXT外部承包商的約聘人員帳號被駭。根據Uber說明,可能是該約聘員工個人裝置感染惡意程式,致其帳密外流,駭客自地下網站購得。
之後,攻擊者以其帳密登入該名員工Uber帳號。特別的是,由於Uber公司已採用雙因素驗證機制,因此該員工起初對於異常的登入請求,都予以拒絕,但最後不知為何原因同意,而使攻擊者成功盜用帳號,並登入Uber公司網路。
Uber表示,接下來,駭客由此存取了多名其他員工帳號,進而取得G-Suite及Slack等管理員權限。後續,駭客還在全公司使用的Slack頻道上,張貼訊息,同時重新設定Uber的OpenDNS,使員工連上內部網站時,卻顯示色情圖片。
此外,Uber也坦承駭客從內部Slack頻道下載一些訊息,而且,還從內部發票管理系統存取資訊。同時,正如一些資安新聞媒體報導所言,攻擊該公司的駭客,的確從HackerOne下載了Uber漏洞報告,但Uber表示,這些漏洞皆已經修補。
雖然部分系統被駭客存取,但Uber稱客戶信用卡資料、營運系統,或公司程式碼都未受影響。
至於事件回應方面,Uber表示,公司採取多項措施,包括辨識被駭帳號後,即暫時凍結系統權限並要求重設密碼,關閉受影響的內部工具,輪調了多項內部服務的金鑰,之後要求所有員工重新驗證。而且,Uber也封鎖程式碼儲存庫,以防程式碼被竄改,並在內部環境增加監控機制,偵測可疑活動。
而在在9月23日,英國倫敦警方表示,他們已經逮到一名疑似駭入Uber的青少年駭客。
值得關注的是,有些資安業者在官方部落格中,特別發表對此事件發表的看法。
例如,資安業者GitGuardian表示,攻擊者似乎在內部網路橫向移動,接管組織內部多個系統,然而,出現這樣的狀況之後,不僅影響該公司的特權存取管理平臺Thycotic,因管理員帳密外洩而遭入侵,也危及AWS執行個體服務、VMware vSphere、SentinelOne,以及Slack workspace、GSuite Admin、HackerOne。
身分安全業者CyberArk紅隊服務副總裁Shay Nahari表示,大部分的分析著眼於社交工程與多種MFA攻擊媒介上,但這場攻擊真正關鍵點,是發生在初始存取之後,也就是存在於網路共享上的不當配置、帳密嵌入,更是這次攻擊的關鍵。
具體而言, 駭客竊取的部分,是嵌入PowerShell腳本的PAM帳密資訊,而獲得高階存取權限,後續又擴增權限,使其在該公司雲服務與內網,如入無人之境。文⊙林妍溱、羅正漢
Uber%E9%81%AD%E9%A7%AD_%E5%9C%96%E7%89%87%E4%BE%86%E6%BA%90Gitguardian.jpg)
資安業者GitGuardian指出Uber事件的嚴重性,指出Uber內部多項系統權限被竊,其中特權存取管理平臺Thycotic,AWS執行個體服務、VMware vSphere、SentinelOne都是屬於高風險,Slack workspace、GSuite Admin、HackerOne屬於中風險。
Uber%E9%81%AD%E9%A7%AD_%E5%9C%96%E7%89%87%E4%BE%86%E6%BA%90CyberArk.jpg)
CyberArk紅隊服務副總裁Shay Nahari表示,大部分的分析著眼於社交工程與多種MFA攻擊媒介上,但更關鍵的問題是,駭客因為竊取了嵌入在PowerShell腳本中的特權存取管理平臺(PAM)帳密資訊,才得以獲得高級存取權限,又進而升級權限,並在Uber的IT環境中如入無人之境。
熱門新聞
2024-04-17
2024-04-15
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15