Click Studios, el desarrollador detrás del administrador de contraseñas empresarial Passwordstate, ha aconsejado a sus clientes que restablezcan todas las contraseñas después de un ataque a la cadena de suministro.
En un aviso de gestión de incidentes publicado el viernes, la compañía dijo que los intrusos utilizaron técnicas sofisticadas para comprometer la funcionalidad de actualización in situ, el mecanismo de actualización del software, y lo utilizaron para implementar malware llamado 'Moserware' en los ordenadores de los usuarios.
Según la información en el sitio web de Click Studios, el software Passwordstate es utilizado por más de 29.000 clientes y 370.000 profesionales de seguridad y TI en todo el mundo, incluidas las empresas fortune 500. Se dice que el incumplimiento ocurrió entre el 20 de abril de 2021 y las 8:33 PM UTC y el 22 de abril de 2021 a las 00:30 am UTC.
"Las actualizaciones in situ realizadas entre el 20 de abril 8:33 PM UTC y el 22 de abril a las 0:30 AM UTC tienen el potencial de descargar un Passwordstate_upgrade.zip malformado. Este .zip archivo se originó en una red de descargas no controlada por Click Studios", dijo la compañía. "El compromiso existió durante aproximadamente 28 horas antes de su cierre. Solo se cree que los clientes que realizaron actualizaciones in situ entre los tiempos indicados anteriormente se ven afectados. Las actualizaciones manuales de Passwordstate no se ven comprometidas. Los registros de contraseñas de los clientes afectados pueden haber sido cosechados."
Los hackers utilizaron el mecanismo de actualización para soltar una actualización maliciosa a través de un archivo zip "Passwordstate_upgrade.zip" que contiene un archivo dll no fiable "moserware.secretsplitter.dll". Una vez instalado, este archivo DLL se conectaría a su servidor de comando y control para recibir upgrade_service_upgrade.zip de carga útil adicionales, que, a su vez, passwordstate data y exportó la información a la red CDN del mal actor.
Los datos extraídos incluían nombre de equipo, nombre de usuario, nombre de dominio, nombre de proceso actual, identificador de proceso actual, todo el nombre y el IDENTIFICADOR de los procesos en ejecución, todo el nombre y el estado de los servicios en ejecución, el nombre y el estado de la instancia de Passwordstate, la dirección del servidor proxy, el nombre de usuario y la contraseña de la instancia de Passwordstate.
Click Studios ya ha notificado a sus clientes de la infracción y emitió una revisión para ayudar a los usuarios a eliminar el malware de sus sistemas. Se recomienda encarecidamente a los usuarios que restablezcan todas las contraseñas almacenadas dentro de administradores de contraseñas de Passwordstate comprometidos, especialmente credenciales para firewalls, VPN, conmutadores, sistemas de almacenamiento, cuentas locales, etc.
