Boletim de Segurança NR23-01 — Comunicado de Segurança

Após progressos consideráveis na nossa investigação, estamos agora numa posição mais informada para partilhar com os nossos clientes detalhes adicionais sobre a investigação em curso e o que aprendemos.

O que aconteceu – ataque inicial ao ambiente de preparação New Relic

Há duas semanas, New Relic tomou conhecimento de um acesso não autorizado ao nosso ambiente de preparação, um ambiente interno que fornece visibilidade de como nossos clientes estão usando New Relic e determinados logs. Os dados de telemetria e aplicativos enviados à New Relic por nossos clientes no uso da plataforma New Relic não residem em nosso ambiente de preparação.

Iniciamos imediatamente uma investigação e descobrimos que um ator não autorizado usou credenciais roubadas e engenharia social em conexão com uma conta de funcionário New Relic . O ator não autorizado usou as credenciais roubadas para obter acesso ao nosso ambiente de preparação, onde foi capaz de visualizar determinados dados relativos ao uso do New Relic por nossos clientes. Customers confirmed to have been impacted by this incident have been notified with recommended next steps. Não há indicação de movimento lateral do nosso ambiente de preparação para contas New Relic de quaisquer clientes no ambiente de produção separado ou para a infraestrutura de produção da New Relic .

Como resultado das medidas que tomamos, também podemos confirmar que o acesso não autorizado ao nosso ambiente de preparação está contido e não vemos mais sinais de acesso ou atividade não autorizada em nosso ambiente de preparação. Continuaremos a contactar os nossos clientes de forma proativa se identificarmos mais informações que possam ser relevantes para eles ao longo da nossa investigação em curso.

Passos que tomamos

Desde que soubemos deste incidente, tomamos medidas imediatas para avaliar a integridade dos aplicativos, sistemas e infraestrutura internos. Ativamos nosso plano de resposta a incidentes e contratamos vários especialistas terceirizados em segurança cibernética para conduzir uma investigação completa sobre o impacto para nossos clientes e nossos negócios. Nossa continuidade de operações e capacidade de atender nossos clientes não foram interrompidas por esse incidente e continuam normalmente.

Nossa equipe de segurança revogou imediatamente o acesso à conta comprometida do funcionário. Tomamos medidas para implementar camadas adicionais de controles técnicos, aprimorar os controles de acesso à rede e eliminar o método de ataque usado para acessar o ambiente de preparação da New Relic . Os principais especialistas cibernéticos e empresas forenses continuam envolvidos para ajudar na nossa investigação em andamento.

Aproveitamos esta oportunidade para fortalecer ainda mais os controles de acesso e as defesas contra roubo de credenciais, aproveitando um conjunto de ferramentas de segurança líder do setor. Também aumentamos a capacidade de monitor a segurança em toda a nossa empresa, tudo para garantir uma visibilidade abrangente da nossa postura de segurança.

Informações adicionais sobre possível acesso a contas de clientes descobertas durante nossa investigação

Ao longo de nossa investigação, observamos indicadores de comprometimento (IOCs) semelhantes acessando um pequeno número de contas New Relic de clientes. Por precaução, respondemos proativamente alternando as senhas e removendo o usuário chave de API das contas de usuário suspeitas de estarem comprometidas. Com base em nossa investigação até o momento, there is no evidence to suggest the identified log-in credentials were acquired as a result of the attack on New Relic’s staging environment. parece que as credenciais foram coletadas em ataques recentes de engenharia social e comprometimento de credenciais em grande escala, o que pode ter colocado essas contas de usuário da New Relic em risco. Nos casos em que identificamos essa suspeita de acesso, estamos entrando em contato proativamente com esses clientes.

Etapas que você pode seguir para evitar comprometimentos baseados em credenciais

Embora nossa investigação esteja em andamento, o AI Monitoring adota uma postura de segurança avançada, compartilhando nossos aprendizados para apoiar a comunidade mais ampla New Relic . Nosso objetivo é ajudar nossos clientes a melhorar sua própria postura de segurança e fornecer assistência, quando aplicável, a quaisquer investigações que possam ser necessárias.

New Relic oferece controles automáticos sobre como os usuários são adicionados ao New Relic, como são gerenciados e como fazem log . A New Relic também disponibiliza provisionamento SAML, SSO e SCIM, que está disponível aqui. Além disso, os clientes configurados com SAML, SSO e SCIM são fortemente incentivados a ativar o MFA. Se você não está aproveitando esses recursos, evite reutilizar senhas e certifique-se de alterná-las regularmente.

Também recomendamos que você permaneça vigilante e monitor sua conta em busca de atividades suspeitas. Por exemplo, como medida de segurança adicional, você deve auditar regularmente as alterações feitas em seu ambiente New Relic - especialmente quando suspeitar de atividades incomuns. A New Relic disponibiliza essa funcionalidade para todos os clientes. os clientes também devem utilizar meta-eventos gerados automaticamente, como NrAuditEvent e NrdbQuery para entender quais ações seu usuário está realizando e quais telemetrias estão consultando. Além disso, recomendamos que você revise nossos boletins de segurança e guias de segurança para conhecer as práticas recomendadas.

Entendemos que você possa ter dúvidas adicionais como resultado deste aviso. Abra um caso de suporte sob segurança ou entre em contato com nossa equipe de suporte ao cliente em supportforum@newrelic.com se tiver mais dúvidas. Eles poderão ajudá-lo ou conectá-lo à equipe apropriada.

À medida que nossa investigação continua, continuaremos a compartilhar informações com as partes apropriadas e com a comunidade maior de clientes da New Relic.

Confiança e transparência são fundamentais em nossos negócios e sabemos que a segurança de nossos sistemas é uma parte importante para conquistar e manter sua confiança. Pedimos desculpas aos nossos clientes pelo ocorrido e agradecemos profundamente a parceria que firmamos com vocês. Continuaremos a fazer investimentos em segurança em nossa infraestrutura e oferta de produtos para manter uma forte postura de segurança para nossa comunidade New Relic.

Release date: 22 de novembro de 2023

Vulnerability identifier: NR23-01

Valorizamos nossa comunidade New Relic e queremos conscientizar nossos clientes sobre um recente incidente de segurança cibernética que estamos trabalhando diligentemente para investigar com o apoio de especialistas terceirizados em segurança cibernética.

Customers will be directly contacted if there are any specific actions required of you. Para ser claro, se você não receber notícias nossas, não há nenhuma ação que você precise tomar neste momento.

Como sempre, recomendamos que você permaneça vigilante e monitor sua conta em busca de atividades suspeitas. Além disso, recomendamos que você revise os Guias de Segurança para conhecer as práticas recomendadas, bem como nossos Boletins de Segurança para atualizações.

Continuaremos a fornecer atualizações relevantes à medida que tivermos mais informações para compartilhar.