Klue-Hack trifft Huntress, HackerOne und 3 weitere Sicherheitsfirmen

Klue-Hack trifft Huntress, HackerOne und 3 weitere Sicherheitsfirmen

Ein Sicherheitsvorfall bei der Marktintelligenz-Plattform Klue hat eine Lieferketten-Attacke auf Cybersicherheitsfirmen ausgelöst, die einige der bekanntesten Namen der Branche betrifft. Huntress, HackerOne, Jamf, Recorded Future und Tanium bestätigten alle, dass als direkte Folge der vorangegangenen Klue-Kompromittierung Daten gestohlen wurden. Der Vorfall ist eine deutliche Mahnung: Selbst Organisationen, deren gesamtes Geschäftsmodell darauf aufbaut, andere zu schützen, können durch einen Anbieter gefährdet werden, dem sie vertraut haben.

Welche Cybersicherheitsfirmen betroffen sind und welche Daten gestohlen wurden

Die fünf bestätigten Opfer decken ein breites Spektrum der Cybersicherheitsbranche ab. Huntress konzentriert sich auf Managed Detection and Response für kleine und mittelständische Unternehmen. HackerOne betreibt eine der weltweit meistgenutzten Plattformen für Bug-Bounty-Programme und die Offenlegung von Schwachstellen. Jamf ist auf die Verwaltung von Apple-Geräten für Unternehmenskunden spezialisiert. Recorded Future ist ein führender Anbieter von Threat Intelligence. Tanium liefert Endpoint-Management und Sicherheit in großem Maßstab.

Alle fünf sind Kunden von Klue. Klue ist eine Marktintelligenz-Plattform, die Unternehmen dabei hilft, Wettbewerbsaktivitäten zu verfolgen, und bezieht dabei typischerweise Daten aus einer Reihe verbundener Geschäftstools. Genau diese Vernetzung machte die Plattform zu einem hochwertigen Ziel. Da Klue autorisierte Integrationen mit den Systemen seiner Kunden hatte, konnte ein Vorfall bei Klue als Sprungbrett in die Umgebungen dieser Kunden genutzt werden, ohne dass die Kunden selbst direkt angegriffen werden mussten.

Welche Daten genau von den einzelnen Firmen gestohlen wurden, wurde nicht vollständig offengelegt, doch die betroffenen Daten stammen aus kundenorientierten Geschäftssystemen und nicht aus rein internen Betriebsinfrastrukturen.

Wie der Klue-Vorfall zu einem Lieferkettenangriff auf Sicherheitsanbieter wurde

Der Mechanismus, wie dies von einem einzigen Marktforschungsunternehmen auf fünf Cybersicherheitsfirmen übergriff, veranschaulicht genau, warum Lieferkettenangriffe für Bedrohungsakteure so attraktiv geworden sind. Anstatt zu versuchen, einen gehärteten Sicherheitsanbieter direkt zu kompromittieren, greift ein Angreifer ein weicheres, vorgelagertes Ziel an, das bereits über die Schlüssel verfügt.

Im Fall von Klue bestand der Angriffsvektor in einer OAuth-Schwachstelle, die es einer Bedrohungsgruppe ermöglichte, unbefugten Zugriff auf verbundene Salesforce-CRM-Daten zu erlangen. Wie in einer früheren Berichterstattung über den Klue-OAuth-Verstoß, der den Diebstahl von Salesforce-CRM-Daten ermöglichte beschrieben, nutzte die als „Icarus“ bekannte Gruppe diese Authentifizierungslücke aus, um sich lateral in die Salesforce-Umgebungen mehrerer Klue-Kunden zu bewegen. Sobald die Angreifer in diesen CRM-Systemen waren, hatten sie Zugriff auf strukturierte Geschäftsdaten, die Unternehmen gewöhnlich als hochsensibel einstufen: Kundendatensätze, Pipeline-Informationen, Transaktionsverläufe und Account-Kontaktdaten.

Dies ist ein Lehrbuchbeispiel für eine Lieferkettenkompromittierung. Die betroffenen Organisationen haben technisch nichts falsch gemacht, wie sie ihre eigene Infrastruktur absicherten. Ihre Gefährdung entstand ausschließlich dadurch, dass sie einem Dritten vertrauten, der seinerseits die von ihm verwalteten OAuth-Integrationen nicht ausreichend schützte.

Warum Sicherheitsunternehmen wertvolle Ziele für Bedrohungsakteure sind

Es mag zunächst widersinnig erscheinen, dass ein Bedrohungsakteur gezielt Cybersicherheitsfirmen ins Visier nimmt. Diese Organisationen beschäftigen erfahrene Fachleute, unterhalten ausgereifte Sicherheitsprogramme und bauen oft genau die Werkzeuge, mit denen man Angriffe erkennt und darauf reagiert.

Doch diese Expertise kann sich auch zum Nachteil wenden. Sicherheitsunternehmen halten außerordentlich sensible Daten. HackerOnes Plattform zum Beispiel steht an der Schnittstelle von Schwachstellenforschung und unternehmerischer Offenlegung. Recorded Future aggregiert Threat Intelligence, die in falschen Händen offenlegen könnte, was Verteidiger über aktive Bedrohungen wissen – und was nicht. Huntress hat tiefe Einblicke in die Netzwerke Tausender kleiner Unternehmen. Ein Angreifer, der Zugang zu einem dieser Systeme erlangt, bekommt nicht nur Daten, sondern strategisches Wissen über das gesamte Sicherheitsökosystem.

Darüber hinaus sind Sicherheitsanbieter oft tief in die Kundenumgebungen integriert, gerade weil ihre Produkte privilegierte Zugriffe benötigen, um ihre Aufgabe zu erfüllen. Diese Integration vergrößert die Angriffsfläche, anstatt sie zu verkleinern. Die im Klue-Vorfall betroffenen Unternehmen wurden nicht über ihre eigenen Produkte kompromittiert, aber der Wert dessen, was über ihre CRM-Systeme zugänglich war, dürfte erheblich genug gewesen sein, um den Aufwand zu rechtfertigen.

Das Muster erinnert zudem an andere prominente Lieferkettenvorfälle, bei denen zwischengeschaltete Dienstleister als Einstiegspunkt in ansonsten gut verteidigte Organisationen dienten. Marktforschungs- und Wettbewerbsanalyse-Plattformen, die routinemäßig CRMs und Vertriebstools anbinden, um Daten zu sammeln und auszuwerten, stellen eine neu aufkommende Risikokategorie dar, die viele Sicherheitsteams bei ihren Lieferantenbewertungen bislang nicht priorisiert haben.

Was das für Sie bedeutet

Wenn Sie bei einem der betroffenen Unternehmen arbeiten oder mit ihnen zusammenarbeiten, besteht der erste Schritt darin, zu überprüfen, ob Ihre Kontodaten oder Geschäftsinformationen in den betroffenen Salesforce-Umgebungen lagen. Wenden Sie sich direkt an den Anbieter und fordern Sie konkrete Angaben dazu an, welche Datenkategorien offengelegt wurden.

Allgemeiner betrachtet unterstreicht dieser Vorfall mehrere konkrete Maßnahmen für jede Organisation, die ihr eigenes Risiko neu bewertet:

• Überprüfen Sie Ihre OAuth- und Drittanbieter-Integrationen regelmäßig. Jede Plattform, die autorisiert ist, sich mit Ihrem CRM, E-Mail-System oder Geschäftstools zu verbinden, verfügt über eine Vertrauensbeziehung, die überprüft und auf die geringstmöglichen Berechtigungen beschränkt werden muss.
• Segmentieren Sie Zugriffe aggressiv. Anbieter sollten nur Zugriff auf die Daten erhalten, die sie für ihre spezifische Funktion benötigen. Ein Marktforschungstool, das Wettbewerbsdaten verfolgen muss, braucht keinen vollständigen CRM-Zugriff.
• Wenden Sie eine mehrschichtige Verteidigungsstrategie über Ihren gesamten Anbieter-Stack an. Eine einzelne Sicherheitsmaßnahme reicht nicht aus. Das Übereinanderlegen von Überwachung, Zugriffskontrollen und Anomalieerkennung über alle Anbieter-Integrationen hinweg verringert den Wirkungsradius einer einzelnen Kompromittierung.
• Betrachten Sie Ihre Lieferantenliste als Teil Ihrer Angriffsfläche. Jedes SaaS-Tool, mit dem sich Ihre Organisation verbindet, ist ein potenzieller Eintrittspunkt. Regelmäßige Überprüfungen, welche Anbieter welche Zugangsdaten besitzen, können unerwartete Gefährdungen aufdecken, bevor ein Angreifer sie findet.

Der Klue-Vorfall ist eine lehrreiche Fallstudie, wie Lieferkettenangriffe in der Praxis funktionieren. Die Angreifer mussten Huntress oder HackerOne nicht auf ihrem eigenen Gebiet schlagen. Sie fanden einen weicheren Einstiegspunkt, nutzten ihn aus und sammelten ein, was dort war. Für datenschutzbewusste Nutzer und sicherheitsorientierte Organisationen lautet die Lektion: Ihre Sicherheitslage ist nur so stark wie die schwächste Integration in Ihrem Anbieter-Ökosystem. Diese Verbindungen jetzt zu überprüfen, bevor der nächste Vorfall passiert, ist das Handgreiflichste, was jede Organisation tun kann.