Bulletin de sécurité NR23-01 — Avis de sécurité

Suite aux progrès considérables réalisés dans notre enquête, nous sommes désormais en meilleure position pour partager avec nos clients des détails supplémentaires sur l’enquête en cours et sur ce que nous avons appris.

Que s'est-il passé ? Attaque initiale sur l'environnement de simulation New Relic

Il y a deux semaines, New Relic a pris connaissance d'un accès non autorisé à notre environnement de simulation, un environnement interne qui offre une visibilité sur la manière dont nos clients utilisent New Relic et certains logs. Les données de télémétrie et d'application envoyées à New Relic par nos clients dans le cadre de leur utilisation de la plateforme New Relic ne résident pas dans notre environnement de simulation.

Nous avons immédiatement lancé une enquête et découvert qu'un acteur non autorisé a utilisé des informations d'identification volées et de l'ingénierie sociale en lien avec un compte collaborateur de New Relic. L'acteur non autorisé a utilisé les informations d'identification volées pour accéder à notre environnement de simulation, où il a pu consulter certaines données relatives à l'utilisation de New Relic par nos clients. Customers confirmed to have been impacted by this incident have been notified with recommended next steps. Il n'y a aucune indication de mouvement latéral depuis notre environnement de simulation vers les comptes New Relic des clients dans l'environnement de production distinct ou vers infrastructure de production de New Relic.

Grâce aux mesures que nous avons prises, nous pouvons également confirmer que l’accès non autorisé à notre environnement de simulation est contenu et que nous ne voyons aucun autre signe d’accès ou d’activité non autorisé dans notre environnement de simulation. Nous continuerons à contacter nos clients de manière proactive si nous identifions des informations supplémentaires qui pourraient les intéresser au cours de notre enquête en cours.

Les mesures que nous avons prises

Depuis que nous avons pris connaissance de cet incident, nous avons pris des mesures immédiates pour évaluer l’intégrité des applications internes, du système et infrastructure. Nous avons activé notre plan de réponse aux incidents et engagé plusieurs experts en cybersécurité tiers pour mener une enquête approfondie sur l’impact sur nos clients et notre entreprise. Notre continuité d’opérations et notre capacité à servir nos clients n’ont pas été perturbées par cet incident et se poursuivent normalement.

Notre équipe de sécurité a immédiatement révoqué l’accès au compte collaborateur compromis. Nous avons pris des mesures pour mettre en œuvre des couches supplémentaires de contrôles techniques, améliorer les contrôles d’accès au réseau et éliminer la méthode d’attaque utilisée pour accéder à l’environnement de simulation de New Relic. Des experts en cybersécurité et des sociétés de criminalistique de premier plan continuent d’être mobilisés pour nous aider dans notre enquête en cours.

Nous avons profité de cette occasion pour renforcer davantage les contrôles d’accès et les défenses contre le vol d’informations d’identification, en exploitant un ensemble d’outils de sécurité de pointe. Nous avons également augmenté notre capacité de monitoring de la sécurité dans l’ensemble de notre entreprise, afin de garantir une visibilité complète de notre posture de sécurité.

Informations complémentaires concernant l'accès potentiel aux comptes clients découverts lors de notre enquête

Au cours de notre enquête, nous avons observé des indicateurs de compromission (IOC) similaires accédant à un petit nombre de comptes New Relic de clients. Par mesure de précaution, nous avons réagi de manière proactive en faisant tourner les mots de passe et en supprimant la clé API de l'utilisateur pour les comptes d'utilisateur suspectés d'être compromis. D'après notre enquête à ce jour, there is no evidence to suggest the identified log-in credentials were acquired as a result of the attack on New Relic’s staging environment. il semble que les informations d'identification aient été collectées lors d'attaques récentes d'ingénierie sociale à grande échelle et de compromission d'informations d'identification, ce qui peut avoir mis en danger ces comptes d'utilisateur New Relic. Dans les cas où nous identifions cet accès suspect, nous contactons proactivement ces clients.

Mesures que vous pouvez prendre pour éviter les compromissions basées sur les informations d’identification

Bien que notre enquête soit en cours, nous monitorons l'IA pour adopter une posture de sécurité avancée en partageant nos apprentissages pour soutenir la communauté New Relic au sens large. Notre objectif est d’aider nos clients à améliorer leur propre posture de sécurité et de fournir une assistance, le cas échéant, à toute enquête qui pourrait être nécessaire.

New Relic propose des contrôles automatiques sur la manière dont les utilisateurs sont ajoutés à New Relic, comment ils sont gérés et comment ils log connectent. New Relic met également à disposition les provisionnements SAML, SSO et SCIM, disponibles ici. De plus, les clients configurés avec SAML, SSO et SCIM sont fortement encouragés à activer MFA. Si vous ne profitez pas de ces fonctionnalités, évitez de réutiliser les mots de passe et assurez-vous de les changer régulièrement.

Nous vous recommandons également de rester vigilant et de monitorer votre compte pour détecter toute activité suspecte. Par exemple, comme mesure de sécurité supplémentaire, vous devez régulièrement auditer les modifications apportées à votre environnement New Relic, en particulier lorsque vous suspectez une activité inhabituelle. New Relic rend cette fonctionnalité facilement accessible à tous les clients. les clients doivent également utiliser des méta-événements générés automatiquement, tels que NrAuditEvent et NrdbQuery pour comprendre quelles actions vos utilisateurs effectuent et quelle télémétrie ils interrogent. De plus, nous vous encourageons à consulter nos Bulletins de sécurité et nos Guides de sécurité pour de bonnes pratiques.

Nous comprenons que vous puissiez avoir des questions supplémentaires à la suite de cet avis. Veuillez ouvrir un dossier d'assistance sous sécurité ou contacter notre équipe d'assistance client à supportforum@newrelic.com si vous avez d'autres questions. Ils pourront vous assister ou vous mettre en contact avec l'équipe appropriée.

À mesure que notre enquête se poursuit, nous continuerons de partager des informations avec les parties concernées et avec la communauté plus large de clients New Relic.

La confiance et la transparence sont primordiales dans notre entreprise, et nous savons que la sécurité de notre système est un élément important pour gagner et conserver votre confiance. Nous nous excusons auprès de nos clients pour cet incident et nous apprécions profondément le partenariat que nous avons forgé avec vous. Nous continuerons d’investir dans la sécurité de notre infrastructure et de notre offre de produits afin de maintenir une posture de sécurité solide pour notre communauté New Relic.

Release date: 22 novembre 2023

Vulnerability identifier: NR23-01

Nous apprécions notre communauté New Relic et souhaitons informer nos clients d'un récent incident de cybersécurité sur lequel nous travaillons avec diligence pour enquêter avec le soutien d'experts en cybersécurité tiers.

Customers will be directly contacted if there are any specific actions required of you. Soyons clairs : si vous n’avez pas de nouvelles de nous, vous n’avez aucune action à entreprendre pour le moment.

Comme toujours, nous vous recommandons de rester vigilant et de monitorer votre compte pour détecter toute activité suspecte. De plus, nous vous encourageons à consulter les guides de sécurité pour les bonnes pratiques ainsi que nos bulletins de sécurité pour les mises à jour.

Nous continuerons à fournir des mises à jour pertinentes à mesure que nous aurons plus d’informations à partager.