PDG de Vercel : la portée de l’attaque dépasse celle de Context.ai, et nous avons averti d’autres victimes présumées

Le PDG de Vercel, Guillermo Rauch, a publié le 22 avril sur X, en heure du Pacifique aux États-Unis, une mise à jour sur l’avancement de l’enquête de sécurité, indiquant que l’équipe d’enquête a traité près de 1 PB des journaux de l’ensemble du réseau et des API de Vercel, et que le périmètre de l’enquête dépasse largement l’incident de piratage de Context.ai. Rauch affirme que les attaquants ont exfiltré des clés d’accès de comptes Vercel en diffusant des logiciels malveillants sur des ordinateurs, et qu’il a été notifié aux victimes.

Vecteurs d’attaque et schémas de comportement : détails de l’enquête

Selon la page d’enquête de sécurité de Vercel et les publications publiques de Guillermo Rauch sur X, cet incident provient d’une application OAuth Google Workspace du service d’IA tiers Context.ai, utilisé par un employé de Vercel, qui a été compromise. Les attaquants, en utilisant les droits d’accès fournis par cet outil, ont progressivement obtenu le compte Google Workspace personnel de l’employé sur Vercel ainsi que le compte Vercel. Une fois dans l’environnement Vercel, ils ont procédé de manière systématique à l’énumération et au déchiffrement de variables d’environnement non sensibles.

Dans ses publications sur X, Rauch indique que les journaux montrent qu’après l’obtention des clés, les attaquants effectuent immédiatement des appels d’API rapides et exhaustifs, en se concentrant sur l’énumération des variables d’environnement non sensibles, ce qui forme un schéma de comportement répétable. Vercel estime que les attaquants disposent d’une connaissance approfondie des interfaces d’API des produits Vercel, avec un niveau technique très élevé.

Nouvelles découvertes après l’extension de l’enquête et collaboration du secteur

D’après la mise à jour de sécurité de Vercel du 22 avril, l’enquête élargie a confirmé deux nouvelles découvertes :

· Découverte que quelques autres comptes ont été compromis dans le cadre de cet incident ; les clients concernés ont été informés

· Découverte que quelques comptes clients présentent des traces d’intrusions antérieures sans lien avec cet incident ; on suppose que cela provient d’une ingénierie sociale, de logiciels malveillants ou d’autres méthodes, et les clients concernés ont été informés

Vercel a approfondi sa collaboration avec des partenaires du secteur tels que Microsoft, AWS et Wiz, et coopère avec Google Mandiant et les services répressifs pour mener l’enquête.

Selon la mise à jour de sécurité de Vercel du 20 avril, l’équipe de sécurité de Vercel, en collaboration avec GitHub, Microsoft, npm et Socket, a confirmé que tous les packages npm publiés par Vercel n’ont pas été affectés : aucun élément prouvant une altération n’a été identifié, et l’évaluation de la sécurité de la chaîne d’approvisionnement est restée normale. Vercel a également divulgué des indicateurs de compromission (IOC) pour que la communauté puisse vérifier, y compris l’ID des applications OAuth concernées : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com ; Vercel recommande aux administrateurs de Google Workspace de vérifier s’ils utilisent l’application susmentionnée.

Questions fréquentes

Quel est le vecteur d’attaque fondamental de cet incident de sécurité chez Vercel ?

Selon la page d’enquête de sécurité de Vercel, l’incident provient d’une application OAuth Google Workspace du service d’IA tiers Context.ai, utilisée par un employé de Vercel, qui a été compromise. Les attaquants, via les droits d’accès accordés par cet outil, ont progressivement obtenu le compte Vercel de l’employé, puis sont entrés dans l’environnement Vercel pour énumérer et déchiffrer des variables d’environnement non sensibles.

Le périmètre d’attaque confirmé par le PDG de Vercel a-t-il dépassé l’incident initial de Context.ai ?

D’après la publication publique de Guillermo Rauch sur X, datée du 22 avril en heure du Pacifique aux États-Unis, les renseignements sur les menaces indiquent que l’activité des attaquants a dépassé le seul périmètre d’intrusion de Context.ai : ils ont volé des clés d’accès à plusieurs prestataires de services dans un réseau plus vaste au moyen de logiciels malveillants, et d’autres victimes présumées ont été informées de la rotation des identifiants.

Les packages npm publiés par Vercel ont-ils été affectés par cet incident de sécurité ?

D’après la mise à jour de sécurité de Vercel du 20 avril, l’équipe de sécurité de Vercel, en collaboration avec GitHub, Microsoft, npm et Socket, a confirmé que tous les packages npm publiés par Vercel n’ont pas été affectés : aucun élément de preuve d’altération n’a été identifié, et l’évaluation de la sécurité de la chaîne d’approvisionnement est demeurée normale.