Context.ai ถูกบุกรุกจนทำให้เกิดวิกฤตความปลอดภัยของ Vercel ซีอีโอเปิดเผยความคืบหน้าการสอบสวนอย่างครบถ้วน

Vercel ซีอีโอ Guillermo Rauch เผยแพร่ความคืบหน้าการสอบสวนบนแพลตฟอร์ม X โดยยืนยันว่าแพลตฟอร์ม AI บุคคลที่สามที่พนักงานของ Vercel ใช้อยู่คือ Context.ai ถูกบุกรุก ผู้โจมตีได้ใช้การผสานรวม Google Workspace OAuth ของแพลตฟอร์มเพื่อได้มาซึ่งข้อมูลรับรองบัญชีของพนักงาน จากนั้นจึงเข้าถึงสภาพแวดล้อมภายในบางส่วนของ Vercel และตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน”

ห่วงโซ่การโจมตี: จากการบุกรุกผ่าน OAuth ของเครื่องมือ AI สู่การแทรกซึมทีละขั้นในสภาพแวดล้อมของ Vercel

จากการสอบสวนของ Vercel เส้นทางการโจมตีแบ่งออกเป็นสามขั้นตอนที่ค่อย ๆ เพิ่มระดับความรุนแรง ขั้นแรก แอปพลิเคชัน Google Workspace OAuth ของ Context.ai ซึ่งก่อนหน้านี้ถูกบุกรุกในการโจมตีห่วงโซ่อุปทานขนาดใหญ่กว่า อาจส่งผลกระทบต่อผู้ใช้งานหลายร้อยรายในหลายองค์กร ขั้นต่อมา ผู้โจมตีเข้ายึดครองบัญชี Google Workspace ของพนักงาน Vercel ด้วยการบุกรุกผ่าน Context.ai และใช้ข้อมูลรับรองดังกล่าวเพื่อเข้าสู่ระบบภายในของ Vercel ประการที่สาม ผู้โจมตีได้รับสิทธิ์การเข้าถึงเพิ่มเติมผ่านวิธีการไล่ตรวจ/คาดเดา โดยใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน”

Rauch ระบุในประกาศว่า ความเร็วในการปฏิบัติการของผู้โจมตีนั้น “น่าทึ่ง” และความเข้าใจเกี่ยวกับระบบของ Vercel นั้น “ลึกซึ้งมาก” โดยประเมินว่ามีความเป็นไปได้สูงว่าผู้โจมตีใช้เครื่องมือ AI เพื่อยกระดับประสิทธิภาพการโจมตีอย่างมาก

ขอบเขตความปลอดภัยของตัวแปรสภาพแวดล้อม “ละเอียดอ่อน” และ “ไม่ละเอียดอ่อน”

เหตุการณ์ครั้งนี้เปิดเผยรายละเอียดสำคัญเกี่ยวกับกลไกความปลอดภัยของตัวแปรสภาพแวดล้อมของ Vercel: ตัวแปรที่ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” ถูกจัดเก็บในลักษณะที่ออกแบบมาเพื่อป้องกันการอ่าน ขณะนี้การสอบสวนยังไม่พบหลักฐานว่าค่าเหล่านี้ถูกเข้าถึง ผู้โจมตีใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และผู้โจมตีสามารถได้สิทธิ์การเข้าถึงเพิ่มเติมจากสิ่งเหล่านั้นสำเร็จผ่านวิธีการไล่ตรวจ/คาดเดา

Vercel ได้เพิ่มหน้าภาพรวมตัวแปรสภาพแวดล้อม และปรับปรุงอินเทอร์เฟซการจัดการตัวแปรสภาพแวดล้อมที่ละเอียดอ่อน เพื่อช่วยให้ลูกค้าระบุและปกป้องค่าการตั้งค่าที่มีความเสี่ยงสูงได้ชัดเจนขึ้น

การตอบสนองฉุกเฉินของ Vercel และรายการคำแนะนำการดำเนินการอย่างเป็นทางการ

Vercel ได้ว่าจ้าง Google Mandiant บริษัทความปลอดภัยทางไซเบอร์อื่น ๆ และได้แจ้งหน่วยงานบังคับใช้กฎหมายให้เข้ามา Next.js, Turbopack และโครงการโอเพนซอร์สของ Vercel ต่างได้รับการยืนยันว่า “ปลอดภัย” ผ่านการวิเคราะห์ห่วงโซ่อุปทาน โดยบริการแพลตฟอร์มยังคงทำงานตามปกติอยู่

การดำเนินการด้านความปลอดภัยที่ลูกค้าควรทำตามคำแนะนำอย่างเป็นทางการ

ตรวจสอบบันทึกกิจกรรม: ตรวจสอบบันทึกกิจกรรมของบัญชีและสภาพแวดล้อม ระบุการกระทำที่น่าสงสัย

หมุนเวียนตัวแปรสภาพแวดล้อม: ตัวแปรสภาพแวดล้อมที่มีข้อมูลลับ (API keys, tokens, ข้อมูลรับรองฐานข้อมูล, signing keys) แต่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” ควรถือว่าอาจถูกเปิดเผยแล้ว และควรให้ความสำคัญกับการหมุนเวียนเป็นอันดับแรก

เปิดใช้งานฟังก์ชันตัวแปรสภาพแวดล้อมที่ละเอียดอ่อน: ตรวจสอบให้แน่ใจว่าค่าการตั้งค่าข้อมูลลับทั้งหมดถูกทำเครื่องหมายเป็น “ละเอียดอ่อน” อย่างถูกต้อง

ตรวจสอบการดีพลอยล่าสุด: สอบสวนการดีพลอยที่ผิดปกติ และลบเวอร์ชันที่น่าสงสัย

ตั้งค่าการป้องกันการดีพลอย: ตรวจสอบให้แน่ใจว่าอย่างน้อยตั้งค่าไว้ที่ระดับ “มาตรฐาน” และหมุนเวียน deployment protection tokens

คำถามที่พบบ่อย

Context.ai คืออะไร และมันกลายเป็นช่องทางเริ่มต้นของการโจมตีครั้งนี้ได้อย่างไร?

Context.ai เป็นเครื่องมือ AI บุคคลที่สามขนาดเล็กที่ใช้การผสานรวม Google Workspace OAuth ซึ่งพนักงานของ Vercel ใช้สำหรับงานประจำ การสอบสวนแสดงว่าแอปพลิเคชัน OAuth ของเครื่องมือนี้ก่อนหน้านี้ถูกบุกรุกในการโจมตีห่วงโซ่อุปทานที่กว้างขวางกว่า อาจส่งผลกระทบต่อผู้ใช้หลายร้อยรายในหลายองค์กร และข้อมูลรับรองบัญชีของพนักงาน Vercel ถูกผู้โจมตีได้มาในกระบวนการนี้

ตัวแปรสภาพแวดล้อมที่ Vercel ทำเครื่องหมายว่า “ละเอียดอ่อน” ได้รับผลกระทบหรือไม่?

ขณะนี้ยังไม่พบหลักฐานว่ามีการเข้าถึงตัวแปรสภาพแวดล้อมที่ทำเครื่องหมายว่า “ละเอียดอ่อน” ตัวแปรเหล่านี้ถูกจัดเก็บด้วยวิธีพิเศษเพื่อป้องกันการอ่าน ผู้โจมตีใช้ตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และผู้โจมตีสามารถได้รับสิทธิ์การเข้าถึงเพิ่มเติมจากสิ่งเหล่านั้นสำเร็จผ่านวิธีการไล่ตรวจ/คาดเดา

ลูกค้า Vercel จะยืนยันได้อย่างไรว่าตนเองได้รับผลกระทบหรือไม่?

หากไม่ได้รับการติดต่อโดยตรงจาก Vercel Vercel ระบุว่า ณ ตอนนี้ยังไม่มีเหตุผลที่จะเชื่อว่าข้อมูลรับรองหรือข้อมูลส่วนบุคคลของลูกค้าที่เกี่ยวข้องถูกเปิดเผย แนะนำให้ลูกค้าทุกรายดำเนินการตรวจสอบบันทึกกิจกรรมด้วยตนเอง หมุนเวียนตัวแปรสภาพแวดล้อมที่ไม่ได้ถูกทำเครื่องหมายว่า “ละเอียดอ่อน” และเปิดใช้งานฟังก์ชันตัวแปรสภาพแวดล้อมที่ละเอียดอ่อนอย่างถูกต้อง หากต้องการความช่วยเหลือด้านเทคนิค สามารถติดต่อ Vercel ผ่าน vercel.com/help ได้