Пробив в OAuth на Klue подхранва кражба на данни от Salesforce CRM от Icarus

Пробив в OAuth на Klue подхранва кражба на данни от Salesforce CRM от Icarus

Потвърдено нарушение на сигурността на OAuth в платформата за пазарна интелигентност Klue предостави на заплашващата група, известна като „Icarus“, неоторизиран достъп до данни от Salesforce CRM, принадлежащи на множество организации. Нападателите в момента провеждат активна кампания за изнудване срещу засегнатите компании, което прави този инцидент едно от по-значимите нарушения, свързани с доставчици на SaaS, в последно време. Инцидентът е ясен сигнал, че пътят на най-малкото съпротивление към корпоративните данни минава все по-често през доверени софтуерни интеграции, а не през директни мрежови прониквания.

Как пробивът в OAuth на Klue даде на Icarus достъп до данни от Salesforce CRM

OAuth е широко възприет стандарт за оторизация, който позволява на приложения на трети страни да имат достъп до ресурси от името на потребител, без да разкриват директно идентификационни данни. В този случай Klue, която предоставя инструменти за конкурентно разузнаване, които организациите свързват с вътрешните си системи, претърпя пробив в реализацията на OAuth. Този пробив отвори врата, през която Icarus влезе, за да достигне до среди на Salesforce CRM в множество предприятия.

Механиката тук има значение. Щом нападателят компрометира OAuth токен или експлоатира недостатък в начина, по който той се издава или валидира, той наследява правата, които токенът носи. Ако на Klue е бил предоставен широк достъп до инстанцията на Salesforce на клиента, какъвто инструментите за пазарна интелигентност често изискват, за да извличат данни за продажби и прогнози, то Icarus на практика придоби същото ниво на достъп, без да задейства типичните аларми, базирани на вход, на които разчитат екипите по сигурност.

Изнудването последва кражбата на данни. Icarus изглежда действа с ясен план: извлича чувствителни CRM данни и след това притиска организациите-жертви да платят, за да предотвратят тяхното разпространение или злоупотреба.

Защо интеграциите със SaaS на трети страни са нарастваща повърхност за атаки

Пробивът в Klue се вписва в модел, за който специалистите по сигурност предупреждават от години. Предприятията рутинно свързват десетки SaaS платформи с основни бизнес системи като Salesforce, като често им предоставят широки права по време на първоначалното включване и никога не преразглеждат тези права впоследствие. Всяка от тези връзки е потенциален мост между най-чувствителните ви данни и нивото на сигурност на някой друг.

Това понякога се нарича проблем с „веригата на доставки“ за облачен софтуер. Защитите на вашата организация може да са силни, но доставчик с по-слаби контроли и широк OAuth достъп до вашата CRM е функционално страничен вход. Нападатели като Icarus разбират това и активно го търсят.

Струва си да се отбележи също, че тези компрометирания рядко започват с чисто технически експлойти. Тактики за социално инженерство, включително фишинг кампании, предназначени да откраднат OAuth токени или да подмамят служителите да оторизират зловредни приложения, често служат като входна точка на човешкия фактор, преди да се стигне до каквато и да е техническа манипулация. OAuth фишингът в частност стана по-изтънчен, като нападателите изработват убедителни екрани за съгласие, които имитират легитимни потоци за оторизация на приложения.

Какви данни бяха изложени и кои организации са изложени на риск

Системите Salesforce CRM съдържат някои от най-търговски чувствителните данни, които едно предприятие управлява: тръби на продажби, записи за контакти с клиенти, стойности на сделки, вътрешни бележки за потенциални клиенти и стратегически планове за акаунти. За Icarus това е точно материалът, който създава максимален лост при изнудване. Жертвите са изправени не само пред репутационно излагане, но и пред конкурентна вреда, ако чувствителна за сделки информация достигне до конкуренти или бъде публикувана публично.

Пробивът засяга множество организации, които са свързали Klue към своите среди на Salesforce, въпреки че пълният обхват на жертвите не е потвърден публично. Всяка компания, която е използвала платформата за пазарна интелигентност на Klue и ѝ е предоставила интеграционен достъп до своята инстанция на Salesforce, трябва да се счита за потенциално засегната, докато не потвърди обратното чрез собствено разследване на сигурността.

Организациите в сектори, където конкурентното разузнаване е основна функция, включително технологии, финансови услуги и корпоративен софтуер, обикновено са интензивни потребители на платформи като Klue и трябва да приоритизират своя преглед.

Многослойни защити: нулево доверие, VPN-и и укрепване на OAuth връзките

Инцидентът с Klue и Icarus подсилва защо многослойният подход към сигурността не е опция, а задължение за бизнеси, работещи с чувствителни CRM и клиентски данни. Няколко контроли са особено релевантни тук.

Първо, хигиената на OAuth разрешенията заслужава незабавно внимание. Организациите трябва да одитират всяко приложение на трета страна, което поддържа активна OAuth връзка към основни системи като Salesforce. Отменете разрешения, които вече не са необходими, и приложете принципа на най-малките привилегии към останалите. Ограничените, специфични права намаляват радиуса на поражение, ако някой свързан доставчик бъде компрометиран.

Второ, моделите за достъп с нулево доверие приемат, че нито една връзка, вътрешна или външна, не е автоматично надеждна. Прилагането на непрекъсната верификация към API връзки и SaaS интеграции, вместо третирането на оторизираните OAuth токени като вътрешно безопасни, може да помогне за откриване на аномално поведение дори когато идентификационните данни изглеждат легитимни.

Трето, криптирани мрежови тунели добавят слой защита на данните в транзит между интегрираните системи. Протоколи като SSTP, който насочва трафика чрез SSL/TLS криптиране, са един пример за това как организациите могат да укрепят мрежовия слой между свързаните платформи, намалявайки риска от прихващане дори когато са замесени идентификационни данни на приложно ниво.

И накрая, наблюдението за необичайни модели на достъп до данни в самия Salesforce, включително масови експорти, неочаквани API повиквания или достъп от непознати OAuth клиенти, може да осигури ранно предупреждение за пробив, който вече е в ход.

Какво означава това за вас

Ако вашата организация използва SaaS интеграции на трети страни, свързани със Salesforce или която и да е друга CRM платформа, този пробив е директен подтик за действие. Кампанията на Icarus илюстрира, че нападателите не чакат да направите очевидна грешка. Те експлоатират доверителните отношения между софтуерни доставчици, на които разчитате всеки ден.

Започнете, като извадите пълен списък на OAuth приложенията, оторизирани да имат достъп до вашата среда на Salesforce. Прегледайте всяко от тях за необходимост, обхват на разрешенията и нивото на сигурност на доставчика зад него. След това установете повтарящ се процес за извършване на този преглед, а не само еднократен одит.

Разбирането как започват атаки като тази е също толкова важно. Тъй като социалното инженерство толкова често предшества техническите експлойти, обучението на персонала да разпознава OAuth фишинг и подозрителни заявки за оторизация е практична стъпка с голямо въздействие, която не изисква значителен бюджет. Многослойните защити работят само когато човешкият слой е включен.