Après avoir appris la cyberattaque contre Uber et son infrastructure informatique et l’accès aux données confidentielles des clients, l’élément humain de cette histoire gagne en force, l’attention se concentre donc sur l’authentification multifacteur (MFA) et d’autres problèmes de sécurité. . Par conséquent, à mesure que de plus amples détails sur l’histoire deviennent connus, il est inévitable de se demander : « Est-ce vraiment important de savoir qui était l’agresseur ou comment il est entré ? Car une fois cette attaque assumée par Uber, ce qui la rend si remarquable, c’est ce qui s’est passé ensuite.

Sur la base des analyses et des rapports disponibles, Équipe rouge CyberArk a déconstruit la cyberattaque sur Uber con un enfoque en las credenciales “hardcodeadas”, el verdadero punto crítico del ataque, ya que supuestamente se usaron para obtener acceso administrativo a la gestión de acceso privilegiado de la organización (PAM), proporcionada por otro proveedor, lo que desbloqueó otros accesos de risque élevé. Dans ce sens, Shay Nahari, vice-président des services Red-Team chez CyberArk, a commenté. « Une grande partie de l’analyse de la cyberattaque Uber s’est concentrée sur l’ingénierie sociale et les multiples vecteurs d’attaque MFA, mais le véritable tournant de l’attaque s’est produit après l’accès initial. La présence d’informations d’identification intégrées dans un partage réseau mal configuré est essentielle pour déconstruire cette attaque. Ce sont les identifiants d’accès à une solution PAM intégrée au script PowerShell qui ont permis à l’attaquant d’obtenir un accès de haut niveau, d’élever ses privilèges et d’accéder aux systèmes informatiques d’Uber. « La protection proactive repose sur la mise en œuvre de plusieurs niveaux de sécurité, mais à mesure que cette attaque se renforce, la leçon la plus importante est de reconnaître une faille de sécurité. »

Une grande partie de l’analyse de la cyberattaque Uber s’est concentrée sur l’ingénierie sociale.

Déconstruire l’attaque Uber, étape par étape : ce que l’on est censé savoir

Phase 1 : accès initial. L’attaquant a pénétré l’environnement informatique d’Uber en accédant aux informations d’identification de l’infrastructure VPN de l’entreprise.

Phase 2 : Découverte. Le fournisseur ne disposait probablement pas de privilèges spéciaux ou élevés pour les ressources sensibles, mais avait accès à un lecteur réseau partagé, comme les autres employés d’Uber. Ce partage réseau était ouvert ou mal configuré pour autoriser une ACL (liste de contrôle d’accès) en lecture large. Dans le partage réseau, l’attaquant a découvert un script PowerShell contenant des informations d’identification privilégiées intégrées pour la solution PAM d’Uber.

Dans la faille Uber, des identifiants « codés en dur » accordaient un accès administratif à une solution de gestion des accès privilégiés. De plus, il semble que ces informations d’identification n’aient pas été modifiées depuis un certain temps, ce qui les rend beaucoup plus faciles à exploiter.

Phase 3 : augmentation des privilèges, accédez au système PAM. En collectant les informations d’identification de l’administrateur pour la solution de gestion des accès privilégiés, l’attaquant a pu élever davantage ses privilèges.

Phase 4 : Accédez aux secrets du système PAM, atteignez les systèmes critiques de l’entreprise. Selon la dernière mise à jour d’Uber, l’attaquant a obtenu « des autorisations élevées pour plusieurs outils ». En accédant aux secrets de la solution de gestion des accès à privilèges, l’attaquant aurait compromis l’accès au SSO et aux consoles, ainsi qu’à la console de gestion cloud où Uber stocke les données sensibles (financières et ses clients).

Phase 5 : Exfiltration des données. Uber continue enquêtant sur l’incident, mais a confirmé que l’attaquant « a téléchargé certains messages internes de Slack et accédé ou téléchargé des informations à partir d’un outil interne que notre équipe financière utilise pour gérer certaines factures ».

La protection proactive nécessite une défense en profondeur, une combinaison de couches de sécurité complémentaires qui prennent en charge une stratégie Zero Trust qui utilise des contrôles stricts de moindre privilège. Par conséquent, pour réduire les cyber-risques, de CyberArk Nous vous recommandons de vous concentrer sur l’inventaire de votre environnement pour rechercher et supprimer les informations d’identification intégrées qui existent dans votre code, vos configurations PaaS, vos outils DevOps et vos applications développées en interne.

A lire également