Útok na Klue zasáhl Huntress, HackerOne a 3 další bezpečnostní firmy

Útok na Klue zasáhl Huntress, HackerOne a 3 další bezpečnostní firmy

Únik dat na platformě pro tržní zpravodajství Klue vyvolal incident v dodavatelském řetězci kyberbezpečnostních společností, který zasáhl některá z nejznámějších jmen v oboru. Huntress, HackerOne, Jamf, Recorded Future a Tanium potvrdily, že data byla odcizena jako přímý důsledek dřívějšího kompromitování Klue. Incident je ostrým připomenutím, že i organizace, jejichž celý obchodní model je postaven na ochraně ostatních, mohou být sraženy dodavatelem, kterému důvěřovaly.

Které kyberbezpečnostní firmy byly zasaženy a jaká data byla odcizena

Pět potvrzených obětí pokrývá široké spektrum kyberbezpečnostního sektoru. Huntress se zaměřuje na řízenou detekci a reakci pro malé a střední podniky. HackerOne provozuje jednu z celosvětově nejpoužívanějších platforem pro odměňování za chyby a zveřejňování zranitelností. Jamf se specializuje na správu zařízení Apple pro firemní zákazníky. Recorded Future je významný poskytovatel informací o hrozbách. Tanium nabízí správu a zabezpečení koncových zařízení ve velkém měřítku.

Všech pět jsou zákazníky Klue. Klue je platforma pro tržní zpravodajství, která firmám pomáhá sledovat aktivity konkurence, přičemž obvykle načítá data z celé řady připojených obchodních nástrojů. Právě tato propojenost z ní udělala vysoce hodnotný cíl. Protože Klue měla autorizované integrace se systémy svých zákazníků, mohl být únik dat u Klue zneužit jako odrazový můstek do prostředí těchto zákazníků, aniž by na ně bylo nutné přímo útočit.

Konkrétní odcizená data z jednotlivých firem nebyla plně zveřejněna, expozice se však týkala obchodních systémů orientovaných na zákazníky, nikoli čistě interní provozní infrastruktury.

Jak se únik dat z Klue stal dodavatelským útokem na bezpečnostní dodavatele

Mechanismus, kterým se toto z jedné výzkumné firmy rozšířilo do pěti kyberbezpečnostních společností, názorně ukazuje, proč se dodavatelské útoky staly pro útočníky tak atraktivní. Namísto přímého pokusu o průnik do odolného bezpečnostního dodavatele útočník kompromituje měkčí upstream cíl, který již má klíče.

V případě Klue útočný vektor spočíval ve zranitelnosti OAuth, která umožnila útočné skupině získat neoprávněný přístup k datům připojeného Salesforce CRM. Jak bylo popsáno v dřívějším zpravodajství o útoku na Klue přes OAuth, který umožnil odcizení dat ze Salesforce CRM, skupina známá jako „Icarus“ zneužila tuto chybu v autentizaci a laterálně se přesunula do prostředí Salesforce několika zákazníků Klue. Jakmile se útočníci dostali do těchto CRM systémů, měli přístup ke strukturovaným obchodním datům, která firmy obvykle považují za vysoce citlivá: záznamy o zákaznících, informace o obchodním pipeline, historii obchodů a kontaktům na účty.

Jedná se o ukázkový dodavatelský kompromis. Postižené organizace neudělaly z technického hlediska nic špatně, pokud jde o zabezpečení vlastní infrastruktury. Jejich expozice pramenila výhradně z důvěry v třetí stranu, která na oplátku nedokázala adekvátně ochránit spravované OAuth integrace.

Proč jsou bezpečnostní společnosti pro útočníky vysoce hodnotným cílem

Může se zdát neintuitivní, že by se útočníci zaměřovali právě na kyberbezpečnostní firmy. Tyto organizace zaměstnávají zkušené odborníky, udržují vyspělé bezpečnostní programy a často vytvářejí nástroje, které se používají k detekci útoků a reakci na ně.

Tato odbornost je však dvojsečná zbraň. Bezpečnostní společnosti drží mimořádně citlivá data. Platforma HackerOne například stojí na pomezí výzkumu zranitelností a firemního zveřejňování. Recorded Future agreguje informace o hrozbách, které by v nesprávných rukou mohly odhalit, co obránci o aktivních hrozbách vědí a co ne. Huntress má hluboký přehled o sítích tisíců malých firem. Protivník, který získá přístup k některému z těchto systémů, nezískává jen data, ale i strategické zpravodajství o celém bezpečnostním ekosystému.

Bezpečnostní dodavatelé jsou navíc často hluboce integrováni do prostředí svých zákazníků právě proto, že jejich produkty vyžadují privilegovaný přístup. Tato integrace vytváří větší plochu útoku, nikoli menší. Společnosti zasažené incidentem Klue nebyly napadeny prostřednictvím vlastních produktů, ale hodnota dat dostupných z jejich CRM systémů byla pravděpodobně natolik vysoká, že se útočníkům vynaložené úsilí vyplatilo.

Tento vzorec připomíná další vysoce profilované dodavatelské incidenty, kdy prostřední dodavatelé sloužili jako vstupní bod do jinak dobře chráněných organizací. Platformy pro průzkum trhu a competitive intelligence, které se běžně připojují k CRM a prodejním nástrojům za účelem načítání a analýzy dat, představují novou kategorii rizika, kterou mnoho bezpečnostních týmů dosud ve svých hodnoceních dodavatelů neupřednostňovalo.

Co to znamená pro vás

Pokud pracujete v některé z postižených firem nebo s nimi spolupracujete, prvním krokem je ověřit, zda vaše účtová data nebo obchodní informace byly uloženy v prostředích Salesforce, k nimž bylo přistoupeno. Obraťte se přímo na dodavatele a vyžádejte si podrobnosti o tom, jaké kategorie dat byly vystaveny.

V širším měřítku tento incident posiluje několik konkrétních opatření pro každou organizaci, která vyhodnocuje svou vlastní rizikovou expozici:

• Pravidelně auditujte své OAuth a integrace třetích stran. Každá platforma, která má oprávnění připojovat se k vašemu CRM, e-mailu nebo obchodním nástrojům, představuje důvěryhodný vztah, který je třeba revidovat a omezit na minimální nezbytná oprávnění.
• Agresivně segmentujte přístup. Dodavatelé by měli získat přístup pouze k datům, která potřebují k plnění své konkrétní funkce. Nástroj pro tržní zpravodajství, který potřebuje sledovat konkurenci, nepotřebuje plný přístup k CRM.
• Uplatňujte strategii hloubkové obrany napříč dodavatelským stackem. Jediná bezpečnostní kontrola nestačí. Vrstvení monitoringu, řízení přístupu a detekce anomálií napříč dodavatelskými integracemi snižuje rozsah škod při jakémkoli jednotlivém kompromisu.
• Považujte seznam svých dodavatelů za součást své útočné plochy. Každý SaaS nástroj, ke kterému se vaše organizace připojuje, je potenciálním vstupním bodem. Pravidelné kontroly toho, kteří dodavatelé mají jaké přístupové údaje, mohou odhalit neočekávanou expozici dříve, než to udělá útočník.

Incident Klue je užitečnou případovou studií toho, jak dodavatelské útoky fungují v praxi. Útočníci nemuseli porážet Huntress ani HackerOne v jejich vlastní hře. Našli měkčí vstupní bod, zneužili ho a sesbírali, co tam bylo. Pro uživatele dbající na soukromí i pro bezpečnostně uvědomělé organizace plyne ponaučení, že vaše bezpečnostní pozice je jen tak silná, jak silná je nejslabší integrace ve vašem dodavatelském ekosystému. Prověřit tato propojení nyní, ještě před dalším incidentem, je to nejpraktičtější, co může jakákoli organizace udělat.