Click Studios, la compañía de software australiana detrás del Estado de la contraseña aplicación de administración de contraseñas, ha notificado a los clientes que restablezcan sus contraseñas luego de un ataque a la cadena de suministro.
La firma con sede en Adelaide dijo que un mal actor usó técnicas sofisticadas para comprometer el mecanismo de actualización del software y lo usó para colocar malware en las computadoras de los usuarios.
Se dice que la brecha ocurrió entre el 20 de abril a las 8:33 p. m. UTC y el 22 de abril a las 0:30 a. m. UTC, por un período total de aproximadamente 28 horas.
«Se cree que solo los clientes que realizaron actualizaciones en el lugar entre los tiempos indicados anteriormente se verán afectados», dijo la compañía en un aviso. «Las actualizaciones manuales de Passwordstate no están comprometidas. Es posible que se hayan recopilado los registros de contraseñas de los clientes afectados».
El desarrollo fue informado por primera vez por el sitio de noticias de tecnología polaco. Peligroso. No está claro de inmediato quiénes son los atacantes o cómo comprometieron la función de actualización del administrador de contraseñas. Click Studios dijo que se está llevando a cabo una investigación sobre el incidente, pero señaló que «la cantidad de clientes afectados parece ser muy baja».
Passwordstate es una solución local basada en la web que se utiliza para la gestión de contraseñas empresariales, lo que permite a las empresas almacenar contraseñas de forma segura, integrar la solución en sus aplicaciones y restablecer contraseñas en una variedad de sistemas, entre otros. El software es utilizado por 29 000 clientes y 370 000 profesionales de TI y seguridad en todo el mundo, contando con varias empresas Fortune 500 que abarcan verticales como banca, seguros, defensa, gobierno, educación y fabricación.
Según un análisis inicial compartido por la empresa de seguridad con sede en Dinamarca CSIS Group, la actualización con malware se presentó en forma de un archivo ZIP, «Passwordstate_upgrade.zip», que contenía una versión modificada de una biblioteca llamada «moserware.secretsplitter». dll «(Envíos de VirusTotal aquí y aquí).
Este archivo, a su vez, estableció contacto con un servidor remoto para obtener una carga útil de segunda etapa («upgrade_service_upgrade.zip») que extrajo los datos de Passwordstate y exportó la información a la red CDN del adversario. Click Studios dijo que el servidor se eliminó el 22 de abril a las 7:00 a. m. UTC.
La lista completa de información comprometida incluye el nombre de la computadora, el nombre de usuario, el nombre de dominio, el nombre del proceso actual, la identificación del proceso actual, los nombres e identificaciones de todos los procesos en ejecución, los nombres de todos los servicios en ejecución, el nombre para mostrar y el estado, la dirección del servidor proxy de la instancia de Passwordstate, los nombres de usuario y contraseñas..
Click Studios ha lanzado un paquete de revisión para ayudar a los clientes a eliminar el DLL manipulado del atacante y sobrescribirlo con una variante legítima. La empresa también recomienda que las empresas restablezcan todas las credenciales asociadas con los sistemas externos (cortafuegos, VPN), así como con la infraestructura interna (sistemas de almacenamiento, sistemas locales) y cualquier otra contraseña almacenada en Passwordstate.
La violación de Passwordstate se produce cuando los ataques a la cadena de suministro están surgiendo rápidamente como una nueva amenaza para las empresas que dependen de proveedores de software de terceros para sus operaciones diarias. En diciembre de 2020, una actualización no autorizada del software de administración de red SolarWinds Orion instaló una puerta trasera en las redes de hasta 18 000 clientes.
La semana pasada, la startup de auditoría de software Codecov alertó a los clientes que descubrió que su software había sido infectado con una puerta trasera el 31 de enero para obtener acceso a tokens de autenticación para varias cuentas de software internas utilizadas por los desarrolladores. El incidente no salió a la luz hasta el 1 de abril.
