Під час розслідування інциденту безпеки з’ясувалося, що хмарна платформа для розробки Vercel зазнала кібератаки. При цьому злом не торкнувся основної інфраструктури Vercel безпосередньо: джерелом проблеми став сторонній ІІ-інструмент, інтегрований через Google Workspace.
Причина: вразливість OAuth
Злом став можливим через компрометацію OAuth-додатка Google Workspace, що належить зовнішньому постачальнику ІІ-послуг. У сучасних хмарних середовищах OAuth є стандартним методом, що дозволяє різним додаткам взаємодіяти та обмінюватися даними без передачі паролів. Однак якщо сторонній додаток виявляється зламаним, він може служити «бекдором» (чорним ходом), надаючи зловмисникам доступ до будь-якої організації, яка авторизувала цей додаток.
Цей інцидент наголошує на зростаючій тенденції в кібербезпеці: атаки на ланцюжок поставок (supply chain attacks). Замість прямої атаки на добре захищену мету, таку як Vercel, хакери вдарили по слабшій ланці в екосистемі – сторонній інтеграції, щоб отримати плацдарм для проникнення у високоцінні середовища.
Масштаб та потенційні наслідки
Результати розслідування вказують, що проблема не обмежується тільки Vercel. Оскільки шкідлива активність виходила від OAuth-додатку ІІ-інструменту, під загрозою можуть перебувати сотні користувачів у різних організаціях.
Основний ризик полягає в несанкціонованому доступі до даних та середовищ, керованих через Google Workspace, що потенційно може призвести до подальшого горизонтального переміщення (lateral movement) зловмисників усередині підключених корпоративних мереж.
Негайні дії для адміністраторів
Щоб мінімізувати подальші ризики, фахівцям з безпеки та ІТ-адміністраторам настійно рекомендується зробити наступні кроки:
- Провести аудит Google Workspace: Адміністраторам слід негайно перевірити всі авторизовані OAuth-програми у своїй організації.
- Виявити шкідливе застосування: Зверніть увагу на будь-які сторонні ІІ-інструменти, яким могли бути надані широкі права доступу.
- Відслідковувати індикатори компрометації (IOC): Командам безпеки слід використовувати надані індикатори (IOC) для перевірки своїх середовищ на наявність ознак шкідливої активності.
Попередження щодо безпеки: Адміністраторам Google Workspace та власникам облікових записів Google настійно рекомендується негайно перевірити використання цієї конкретної сторонньої програми, щоб запобігти подальшому несанкціонованому доступу.
Висновок
Інцидент з Vercel є серйозним нагадуванням про ризики, пов’язані зі сторонніми інтеграціями. Оскільки організації все більше покладаються на інструменти на базі ІІ, безпека всієї екосистеми залежить від найслабшої ланки в ланцюжку постачання програмного забезпечення.
