Click Studios, la société australienne de logiciels derrière le Mot de passe application de gestion des mots de passe, a averti les clients de réinitialiser leurs mots de passe suite à une attaque de la chaîne logistique logicielle

La société basée à Adélaïde a déclaré qu’un mauvais acteur avait utilisé des techniques sophistiquées pour compromettre le mécanisme de mise à jour du logiciel et l’avait utilisé pour déposer des logiciels malveillants sur les ordinateurs des utilisateurs.

La brèche se serait produite entre le 20 avril à 20 h 33 UTC et le 22 avril à 0 h 30 UTC, pour une durée totale d’environ 28 heures.

« Seuls les clients ayant effectué des mises à niveau sur place entre les heures indiquées ci-dessus sont censés être affectés », a déclaré la société mentionné dans un avis. « Les mises à niveau manuelles de Passwordstate ne sont pas compromises. Les enregistrements de mots de passe des clients concernés peuvent avoir été récupérés. »

Le développement a été signalé pour la première fois par le site d’information technologique polonais Niebezpiecznik. On ne sait pas immédiatement qui sont les attaquants ou comment ils ont compromis la fonction de mise à jour du gestionnaire de mots de passe. Click Studios a déclaré qu’une enquête sur l’incident était en cours, mais a noté que « le nombre de clients concernés semble être très faible ».

Passwordstate est une solution Web sur site utilisée pour la gestion des mots de passe d’entreprise, permettant aux entreprises de stocker en toute sécurité les mots de passe, d’intégrer la solution dans leurs applications et de réinitialiser les mots de passe sur une gamme de systèmes, entre autres. Le logiciel est utilisé par 29 000 clients et 370 000 professionnels de la sécurité et de l’informatique dans le monde, comptant plusieurs sociétés Fortune 500 couvrant des secteurs verticaux tels que la banque, l’assurance, la défense, le gouvernement, l’éducation et la fabrication.

Selon une première analyse partagée par une société de sécurité basée au Danemark Groupe SCRS, la mise à jour contenant des logiciels malveillants se présentait sous la forme d’un fichier d’archive ZIP, « Passwordstate_upgrade.zip », qui contenait une version modifiée d’une bibliothèque appelée « moserware.secretsplitter.dll » (soumissions VirusTotal ici et ici).

Ce fichier, à son tour, a établi le contact avec un serveur distant pour récupérer une charge utile de deuxième étape (« upgrade_service_upgrade.zip ») qui a extrait les données Passwordstate et a exporté les informations vers le réseau CDN de l’adversaire. Click Studios a déclaré que le serveur avait été arrêté le 22 avril à 7h00 UTC.

La liste complète des informations compromises comprend le nom de l’ordinateur, le nom d’utilisateur, le nom de domaine, le nom du processus actuel, l’ID de processus actuel, les noms et les ID de tous les processus en cours d’exécution, les noms de tous les services en cours d’exécution, le nom d’affichage et l’état, l’adresse du serveur proxy de l’instance Passwordstate, noms d’utilisateur et mots de passe.

Click Studios a publié un package de correctifs cela aiderait les clients à supprimer la DLL altérée de l’attaquant et à la remplacer par une variante légitime. Il est également recommandé à l’entreprise de réinitialiser toutes les informations d’identification associées aux systèmes externes (pare-feu, VPN) ainsi qu’à l’infrastructure interne (systèmes de stockage, systèmes locaux) et à tout autre mot de passe stocké dans Passwordstate.

La violation de Passwordstate survient alors que les attaques de la chaîne d’approvisionnement émergent rapidement, une nouvelle menace pour les entreprises qui dépendent de fournisseurs de logiciels tiers pour leurs opérations quotidiennes. En décembre 2020, une mise à jour non conforme du logiciel de gestion de réseau SolarWinds Orion a installé une porte dérobée sur les réseaux de 18 000 clients maximum.

La semaine dernière, la start-up d’audit de logiciels Codecov alerté clients qui ont découvert que son logiciel avait été infecté par une porte dérobée dès le 31 janvier pour accéder aux jetons d’authentification pour divers comptes logiciels internes utilisés par les développeurs. L’incident n’a été révélé que le 1er avril.