La plateforme cloud Vercel vient de confirmer avoir été victime d’une cyberattaque. Cette intrusion fait suite à la compromission du compte Google Workspace d’un salarié de Vercel par l’intermédiaire d’un outil d’intelligence artificielle tiers. Voici ce que l’on sait.

Pour rappel, Vercel est une plateforme en ligne très appréciée par les développeurs puisqu’elle permet d’héberger et de déployer facilement des applications web et des sites web. Elle supporte notamment une intégration forte de Next.js et intègre de nombreuses fonctionnalités adaptées au développement moderne (CI/CD, protection anti-DDoS, agent IA, etc.).

L’origine de la cyberattaque Vercel

Cet incident de sécurité est directement lié à la compromission du compte Google Workspace d’un employé de Vercel. D’après Guillermo Rauch, le PDG de l’entreprise Vercel, cette brèche est en réalité liée à la compromission de la plateforme d’IA Context.ai. L’attaquant a pu remonter jusqu’à Vercel dans un second temps.

“L’incident trouve son origine dans la compromission de Context.ai, un outil d’IA tiers utilisé par un employé de Vercel. Le pirate a profité de cet accès pour prendre le contrôle du compte Google Workspace de cet employé chez Vercel, ce qui lui a permis d’accéder à certains environnements Vercel et à des variables d’environnement qui n’étaient pas classées comme « sensibles ».”, peut-on lire dans le communiqué de Vercel.

Le fait que les variables d’environnement n’étaient pas classées comme sensibles a un impact : elles ne sont pas chiffrées et sont donc consultables plus facilement. Le pirate a pu énumérer certaines informations de cette façon et ainsi progresser sur les systèmes de Vercel.

“Les variables d’environnement marquées comme « sensibles » dans Vercel sont stockées de manière à empêcher leur lecture, et nous n’avons pour l’instant aucune preuve que ces valeurs aient été consultées.”, peut-on lire.

Ce qu’il est important de préciser, c’est que cet incident de sécurité pourrait avoir un impact bien au-delà de Vercel. En effet, Vercel explique que l’application OAuth pour Google Workspace du service Context.ai a été compromise, ce qui aurait pu permettre à l’attaquant de pirater d’autres services et pas seulement Vercel.

Qui est affecté ? Quelles sont les données compromises ?

Un cybercriminel revendiquant son appartenance au groupe “ShinyHunters” a publié une annonce sur un forum affirmant vendre les accès et les données de Vercel. Mais attention, son appartenance au groupe ShinyHunters est à prendre avec des pincettes : d’autres pirates impliqués dans les récentes attaques de ShinyHunters ont fermement nié toute implication dans cet incident.

Au sein de ce message, le pirate affirme détenir les données suivantes :

• Le code source et des données issues des bases de données.
• Des clés d’accès et des clés d’API (incluant notamment des tokens NPM et GitHub).
• Un fichier texte contenant les informations de 580 employés de Vercel (comprenant les noms, adresses e-mail, statuts du compte).
• L’accès à de multiples comptes d’employés et à plusieurs déploiements internes.

Il aurait également exigé le paiement d’une rançon dont le montant s’élève à 2 millions de dollars.

Malgré ces affirmations du pirate, Vercel a confirmé que ses services n’ont pas été impactés et qu’une “sous-partie limitée” de clients a été touchée par cette intrusion. Toutefois, il y a bien eu la compromission de certains comptes clients : “Dans un premier temps, nous avons identifié un petit groupe de clients dont les identifiants Vercel avaient été compromis. Nous avons contacté ces clients et leur avons recommandé de changer immédiatement leurs identifiants.”, précise Vercel.

À l’heure actuelle, des investigations sont toujours en cours, notamment avec les experts de Mandiant, donc cette affaire est à suivre dans les prochains jours. Cela pourrait avoir un impact important sur la chaine d’approvisionnement logicielle s’il s’avère que les pirates ont pu mettre la main sur plus de données que l’affirment Vercel actuellement.

Que faire si vous utilisez Vercel ?

Si vous utilisez les services de Vercel, vous devez agir pour vérifier vos déploiements et votre environnement. D’ailleurs, le communiqué de Vercel donne un ensemble de recommandations à appliquer pour se protéger.

• Vérifier le contenu des variables d’environnement.
• Activer la fonctionnalité dédiée aux variables sensibles pour garantir leur chiffrement au repos.
• Effectuer une rotation des secrets.
• Contrôler la présence d’une application OAuth spécifique (ID : 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com) dans votre environnement Google Workspace.

Source