Af Eskil Sørensen, 28/04/21
Virksomheden ClickStudios har for nylig underrettet deres kunder om et brud på sikkerheden. Det er sket som følge af et supply chain-angreb, som er gennemført via en opdatering af passwordmanageren Passwordstate. Det skriver en række medier, herunder også CSIS Security Group, der har været de første til at publicere en analyse af hændelsen.
Et supply chain-angreb er ifølge CFCS’ ordliste kendetegnet ved en kompromittering hos leverandøren eller fra tredjepart gennem en leverandør eller betroede samarbejdspartnere. Software supply chain-angreb er en særlig type supply chain-angreb, hvor aktører gemmer malware i opdateringer, som leverandører utilsigtet distribuerer til sine kunder.
Det seneste, største supply chain-angreb skete med kompromitteringen af SolarWinds Orion-software.
Selv hændelsen skete mellem den 20. april 2021 20:33 UTC og den 22. april 2021 00:30 UTC, hvor opdateringsmekanismen blev brugt til at droppe en ondsindet opdatering via en zip-fil "Passwordstate_upgrade.zip". Denne indeholdt en dll "moserware.secretsplitter.dll", hvorfor hændelsen er døbt 'Moserpass'.
Dvs. at opgraderinger, der udført i dette tidsrum, har haft potentialet til at være årsag til en kompromittering.
Bruges af 29.000 virksomheder
Passwordstate er en lokal adgangskodeadministrationsløsning, der ifølge ClickStudios bruges af over 370.000 sikkerheds- og it-fagfolk i 29.000 virksomheder i hele verden. Det antages, at angrebet potentielt kunne have påvirket et stort antal af disse kunder. Blandt kunderne nævnes virksomheder på Fortune 500-ranglisten, herunder bred vifte af branchevirksomheder, regeringsenheder, forsvar, finans, luftfart, detailhandel, bilindustri, sundhedspleje, juridisk og medier.
ClickStudios anbefaler, at kunder nulstiller alle de gemte adgangskoder, og især VPN'er, Firewall, switche, lokale konti eller serveradgangskoder, hvis man bruger Passwordstate.
Links:
https://www.csis.dk/newsroom-blog-overview/2021/moserpass-supply-chain/