Boletín de Seguridad NR23-01 — Aviso de Seguridad

Tras un progreso considerable en nuestra investigación, ahora estamos en una posición más informada para compartir con nuestros clientes detalles adicionales sobre la investigación en curso y lo que hemos aprendido.

Qué pasó: ataque inicial al entorno de prueba New Relic

Hace dos semanas, New Relic se dio cuenta de un acceso no autorizado a nuestro entorno de prueba, un entorno interno que proporciona visibilidad de cómo nuestros clientes utilizan New Relic y ciertos registros. Los datos de telemetría y aplicación enviados a New Relic por nuestros clientes en su uso de la plataforma New Relic no residen en nuestro entorno de prueba.

Inmediatamente iniciamos una investigación y descubrimos que un actor no autorizado utilizó credenciales robadas e ingeniería social en conexión con una cuenta de empleado New Relic . El actor no autorizado utilizó las credenciales robadas para obtener acceso a nuestro entorno de prueba, donde pudo ver ciertos datos relacionados con el uso de New Relic por parte de nuestros clientes. Customers confirmed to have been impacted by this incident have been notified with recommended next steps. No hay indicios de movimiento lateral desde nuestro entorno de prueba a las cuentas de New Relic de ningún cliente en el entorno de producción separado o a la infraestructura de producción de New Relic .

Como resultado de los pasos que hemos tomado, también podemos confirmar que el acceso no autorizado a nuestro entorno de prueba está contenido y que no vemos más señales de acceso o actividad no autorizada en nuestro entorno de prueba. Continuaremos comunicándonos de manera proactiva con nuestros clientes si identificamos más información que pueda ser relevante para ellos en el transcurso de nuestra investigación en curso.

Pasos que hemos tomado

Desde que nos enteramos de este incidente, tomamos medidas inmediatas para evaluar la integridad de la aplicación, los sistemas y la infraestructura internos. Activamos nuestro plan de respuesta a incidentes y contratamos a varios expertos externos en ciberseguridad para realizar una investigación exhaustiva sobre el impacto en nuestros clientes y nuestro negocio. Nuestra continuidad de operaciones y capacidad de servir a nuestros clientes no se vieron afectadas por este incidente y continúan con normalidad.

Nuestro equipo de seguridad revocó inmediatamente el acceso a la cuenta del empleado comprometida. Hemos tomado medidas para implementar capas adicionales de controles técnicos, mejorar los controles de acceso a la red y eliminar el método de ataque utilizado para acceder al entorno de prueba de New Relic. Los principales expertos cibernéticos y empresas forenses continúan participando para ayudar en nuestra investigación en curso.

Hemos aprovechado esta oportunidad para reforzar aún más los controles de acceso y las defensas contra el robo de credenciales, aprovechando un conjunto de herramientas de seguridad líder en la industria. También hemos aumentado la capacidad para monitor la seguridad en toda nuestra empresa, todo para garantizar una visibilidad integral de nuestra postura de seguridad.

Información adicional sobre el posible acceso a cuentas de clientes descubiertas durante nuestra investigación

En el transcurso de nuestra investigación, observamos indicadores similares de compromiso (IOC) al acceder a una pequeña cantidad de cuentas de New Relic de los clientes. Por precaución, respondimos de manera proactiva rotando las contraseñas y eliminando la clave de usuario de API para las cuentas de usuario sospechosas de estar comprometidas. Según nuestra investigación hasta la fecha, there is no evidence to suggest the identified log-in credentials were acquired as a result of the attack on New Relic’s staging environment. parece que las credenciales se obtuvieron en ataques recientes de ingeniería social y compromiso de credenciales a gran escala, que pueden haber puesto en riesgo estas cuentas de usuario de New Relic. En los casos en los que identificamos este acceso sospechoso, nos comunicamos de manera proactiva con estos clientes.

Pasos que puede seguir para evitar compromisos basados en credenciales

Aunque nuestra investigación está en curso, monitoreamos a IA para adoptar una postura de seguridad avanzada compartiendo nuestros aprendizajes para apoyar a la comunidad New Relic en general. Nuestro objetivo es ayudar a nuestros clientes a mejorar su propia postura de seguridad y brindar asistencia cuando corresponda para cualquier investigación que pueda ser necesaria.

New Relic ofrece controles automáticos sobre cómo se agregan los usuarios a New Relic, cómo se administran y cómo log sesión. New Relic también ofrece aprovisionamiento SAML, SSO y SCIM, que está disponible aquí. Además, se recomienda encarecidamente a los clientes configurados con SAML, SSO y SCIM que habiliten MFA. Si no está aprovechando estas características, evite reutilizar contraseñas y asegúrese de rotarlas periódicamente.

También le recomendamos que permanezca atento y monitor su cuenta en busca de actividades sospechosas. Por ejemplo, como medida de seguridad adicional, debe auditar periódicamente los cambios realizados en su entorno New Relic, especialmente cuando sospeche de actividad inusual. New Relic hace que dicha funcionalidad esté disponible para todos los clientes. Los clientes también deben utilizar metaevento generado automáticamente, como NrAuditEvent y NrdbQuery para comprender qué acciones está realizando su usuario y qué telemetría está consultando. Además, le recomendamos que revise nuestros boletines de seguridad y guías de seguridad para conocer las mejores prácticas.

Entendemos que usted puede tener preguntas adicionales como resultado de este aviso. Abra un caso de soporte bajo seguridad o comuníquese con el equipo de soporte de nuestros clientes en supportforum@newrelic.com si tiene más preguntas. Ellos podrán ayudarle o conectarle con el equipo adecuado.

A medida que continúe nuestra investigación, continuaremos compartiendo información con las partes apropiadas y la comunidad más amplia de clientes de New Relic.

La confianza y la transparencia son primordiales en nuestro negocio y sabemos que la seguridad de nuestros sistemas es una parte importante para ganarnos y mantener su confianza. Pedimos disculpas a nuestros clientes por lo sucedido y apreciamos profundamente la asociación que hemos forjado con ustedes. Continuaremos realizando inversiones en seguridad en nuestra infraestructura y oferta de productos para mantener una postura de seguridad sólida para nuestra comunidad New Relic.

Release date: 22 de noviembre de 2023

Vulnerability identifier: NR23-01

Valoramos a nuestra comunidad New Relic y queremos informar a nuestros clientes sobre un incidente reciente de ciberseguridad en el que estamos trabajando diligentemente para investigar con el apoyo de expertos en ciberseguridad externos.

Customers will be directly contacted if there are any specific actions required of you. Para ser claros, si no recibe noticias nuestras, no debe tomar ninguna medida en este momento.

Como siempre, le recomendamos que permanezca atento y monitor su cuenta en busca de actividades sospechosas. Además, le recomendamos que revise las Guías de seguridad para conocer las mejores prácticas, así como nuestros Boletines de seguridad para obtener actualizaciones.

Continuaremos brindando actualizaciones relevantes a medida que tengamos más información para compartir.