lab4sec

LastPass ha realizado una actualización importante sobre el incidente de seguridad del 22 de diciembre de 2022. Dicen que han completado una investigación exhaustiva y que no han visto ninguna actividad de amenaza desde el 26 de octubre de 2022.

Esta actualización está estructurada de la siguiente manera:

• ¿Qué pasó y qué acciones tomaron?
• ¿A qué datos se accedió?
• ¿Qué medidas se debe tomar para protegerse?
• Lo que han hecho para asegurar LastPass
• Qué se puede esperar 

¿Qué pasó y qué acciones tomaron?

Los dos incidentes que revelaron el año pasado afectaron a LastPass y a sus 100.000 clientes. Ninguno de los incidentes fue causado por un defecto del producto de LastPass o por un acceso no autorizado o abuso de los sistemas de producción. Más bien, el actor de amenazas explotó una vulnerabilidad en el software de terceros, eludió los controles existentes y, finalmente, accedió a entornos de almacenamiento de copia de seguridad y desarrollo que no son de producción.

No ha habido contacto ni se han realizado demandas, y no se ha detectado actividad clandestina creíble que indique que el actor de la amenaza está activamente involucrado en la comercialización o venta de cualquier información obtenida durante cualquiera de los incidentes.

Resumen del incidente 1

La computadora portátil corporativa de un ingeniero de software se vio comprometida, lo que permitió que el actor de amenazas no autorizado obtuviera acceso a un entorno de desarrollo basado en la nube y robara el código fuente, la información técnica y ciertos secretos del sistema interno de LastPass.

No se tomaron datos de clientes ni de bóvedas durante este incidente, ya que no hay datos de clientes ni de bóvedas en el entorno de desarrollo. Declararon cerrado este incidente, pero luego esa información robada se usó para identificar objetivos e iniciar el segundo incidente.

Resumen del incidente 2

El actor de la amenaza apuntó a un ingeniero senior de DevOps al explotar software vulnerable de terceros. El actor de amenazas aprovechó la vulnerabilidad para descargar malware, eludir los controles existentes y, en última instancia, obtener acceso no autorizado a las copias de seguridad en la nube.

Los datos a los que se accedió desde esas copias de seguridad incluían datos de configuración del sistema, secretos de API, secretos de integración de terceros y datos de clientes de LastPass cifrados y no cifrados.

Luego de las 2 fallas críticas con PoC (CVE-2022-39952) publicada hace unos días, Fortinet ha revelado una nueva vulnerabilidad «crítica» que afecta a FortiOS y FortiProxy, que permite a un atacante no autenticado ejecutar código arbitrario o realizar una denegación de servicio (DoS) en la GUI de dispositivos vulnerables mediante solicitudes especialmente diseñadas.

Esta vulnerabilidad de subdesbordamiento del búfer, identificada como CVE-2023-25610, tiene una puntuación CVSS de 9,3/10, lo que la califica como crítica. Este tipo de falla ocurre cuando un programa intenta leer más datos de un búfer de memoria de los que están disponibles, lo que resulta en el acceso a ubicaciones de memoria adyacentes.