Η Επίθεση στην Klue Πλήττει τις Huntress, HackerOne και 3 Ακόμη Εταιρείες Ασφαλείας

Μια παραβίαση στην πλατφόρμα πληροφοριών αγοράς Klue προκάλεσε ένα περιστατικό παραβίασης δεδομένων στην αλυσίδα εφοδιασμού εταιρειών κυβερνοασφάλειας, επηρεάζοντας μερικά από τα πιο αναγνωρίσιμα ονόματα του κλάδου. Οι Huntress, HackerOne, Jamf, Recorded Future και Tanium επιβεβαίωσαν όλες ότι δεδομένα τους εκλάπησαν ως άμεση συνέπεια της προηγούμενης παραβίασης της Klue. Το περιστατικό αποτελεί μια ηχηρή υπενθύμιση ότι ακόμη και οργανισμοί των οποίων ολόκληρο το επιχειρηματικό μοντέλο βασίζεται στην προστασία άλλων, μπορούν να πληγούν από έναν προμηθευτή που εμπιστεύτηκαν.

Ποιες Εταιρείες Κυβερνοασφάλειας Επλήγησαν και Ποια Δεδομένα Αφαιρέθηκαν

Τα πέντε επιβεβαιωμένα θύματα καλύπτουν ένα ευρύ φάσμα του τομέα της κυβερνοασφάλειας. Η Huntress εστιάζει στη διαχειριζόμενη ανίχνευση και απόκριση για μικρές και μεσαίες επιχειρήσεις. Η HackerOne λειτουργεί μία από τις πιο ευρέως χρησιμοποιούμενες πλατφόρμες bug bounty και αποκάλυψης ευπαθειών παγκοσμίως. Η Jamf ειδικεύεται στη διαχείριση συσκευών Apple για εταιρικούς πελάτες. Η Recorded Future είναι ένας εξέχων πάροχος πληροφοριών απειλών. Η Tanium προσφέρει διαχείριση τελικών σημείων και ασφάλεια σε κλίμακα.

Και οι πέντε είναι πελάτες της Klue. Η Klue είναι μια πλατφόρμα πληροφοριών αγοράς που βοηθά τις εταιρείες να παρακολουθούν τη δραστηριότητα των ανταγωνιστών, συνήθως εισάγοντας δεδομένα από μια σειρά συνδεδεμένων επιχειρηματικών εργαλείων. Αυτή ακριβώς η συνδεσιμότητα την κατέστησε στόχο υψηλής αξίας. Επειδή η Klue διέθετε εξουσιοδοτημένες ενσωματώσεις με τα συστήματα των πελατών της, μια παραβίαση στην Klue θα μπορούσε να χρησιμοποιηθεί ως ορμητήριο για την είσοδο στα περιβάλλοντα αυτών των πελατών, χωρίς ποτέ να επιτεθούν απευθείας σε αυτούς.

Τα συγκεκριμένα δεδομένα που εκλάπησαν από κάθε εταιρεία δεν έχουν αποκαλυφθεί πλήρως, αλλά η έκθεση αφορούσε επιχειρηματικά συστήματα που εξυπηρετούν πελάτες και όχι αμιγώς εσωτερική επιχειρησιακή υποδομή.

Πώς η Παραβίαση της Klue Έγινε Επίθεση στην Αλυσίδα Εφοδιασμού Προμηθευτών Ασφαλείας

Ο μηχανισμός με τον οποίο αυτό κλιμακώθηκε από μία εταιρεία ερευνών αγοράς σε πέντε εταιρείες κυβερνοασφάλειας απεικονίζει ακριβώς γιατί οι επιθέσεις στην αλυσίδα εφοδιασμού έχουν γίνει τόσο ελκυστικές για τους φορείς απειλών. Αντί να προσπαθήσουν να παραβιάσουν απευθείας έναν θωρακισμένο προμηθευτή ασφαλείας, ένας επιτιθέμενος θέτει σε κίνδυνο έναν πιο ευάλωτο ανάντη στόχο που ήδη κατέχει τα κλειδιά.

Στην περίπτωση της Klue, το διάνυσμα επίθεσης περιλάμβανε μια ευπάθεια OAuth που επέτρεψε σε μια ομάδα απειλών να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε συνδεδεμένα δεδομένα CRM Salesforce. Όπως καλύφθηκε σε προηγούμενο ρεπορτάζ για την παραβίαση OAuth της Klue που επέτρεψε την κλοπή δεδομένων CRM Salesforce, η ομάδα απειλών γνωστή ως "Icarus" εκμεταλλεύτηκε αυτό το ελάττωμα αυθεντικοποίησης για να μετακινηθεί πλευρικά στα περιβάλλοντα Salesforce πολλαπλών πελατών της Klue. Μόλις εισήλθαν σε αυτά τα συστήματα CRM, οι επιτιθέμενοι είχαν πρόσβαση σε δομημένα επιχειρηματικά δεδομένα που οι εταιρείες συνήθως αντιμετωπίζουν ως άκρως ευαίσθητα: αρχεία πελατών, πληροφορίες διοχέτευσης πωλήσεων, ιστορικό συμφωνιών και επαφές λογαριασμών.

Πρόκειται για ένα κλασικό παράδειγμα παραβίασης της αλυσίδας εφοδιασμού. Οι οργανισμοί-θύματα δεν έκαναν τίποτα τεχνικά λάθος στον τρόπο που ασφάλισαν τη δική τους υποδομή. Η έκθεσή τους προήλθε εξ ολοκλήρου από την εμπιστοσύνη σε ένα τρίτο μέρος που, με τη σειρά του, απέτυχε να προστατεύσει επαρκώς τις ενσωματώσεις OAuth που διαχειριζόταν.

Γιατί οι Εταιρείες Ασφαλείας Αποτελούν Στόχους Υψηλής Αξίας για τους Φορείς Απειλών

Μπορεί να φαίνεται αντιφατικό το γεγονός ότι ένας φορέας απειλών θα στόχευε συγκεκριμένα εταιρείες κυβερνοασφάλειας. Αυτοί οι οργανισμοί απασχολούν ειδικούς επαγγελματίες, διατηρούν ώριμα προγράμματα ασφαλείας και συχνά κατασκευάζουν τα ίδια τα εργαλεία που χρησιμοποιούνται για την ανίχνευση και την απόκριση σε επιθέσεις.

Αλλά αυτή η τεχνογνωσία είναι δίκοπο μαχαίρι. Οι εταιρείες ασφαλείας κατέχουν εξαιρετικά ευαίσθητα δεδομένα. Η πλατφόρμα της HackerOne, για παράδειγμα, βρίσκεται στη διασταύρωση της έρευνας ευπαθειών και της εταιρικής αποκάλυψης. Η Recorded Future συγκεντρώνει πληροφορίες απειλών που, σε λάθος χέρια, θα μπορούσαν να αποκαλύψουν τι γνωρίζουν και τι δεν γνωρίζουν οι αμυνόμενοι για τις ενεργές απειλές. Η Huntress έχει βαθιά ορατότητα στα δίκτυα χιλιάδων μικρών επιχειρήσεων. Ένας αντίπαλος που μπορεί να αποκτήσει πρόσβαση σε οποιοδήποτε από αυτά τα συστήματα αποκτά όχι μόνο δεδομένα, αλλά και στρατηγικές πληροφορίες για το ευρύτερο οικοσύστημα ασφαλείας.

Επιπλέον, οι προμηθευτές ασφαλείας είναι συχνά βαθιά ενσωματωμένοι στα περιβάλλοντα πελατών, ακριβώς επειδή τα προϊόντα τους απαιτούν προνομιακή πρόσβαση για να εκτελέσουν τη λειτουργία τους. Αυτή η ενσωμάτωση δημιουργεί περισσότερη επιφάνεια επίθεσης, όχι λιγότερη. Οι εταιρείες που στοχεύθηκαν στο περιστατικό της Klue δεν παραβιάστηκαν μέσω των δικών τους προϊόντων, αλλά η αξία όσων ήταν προσβάσιμα μέσω των συστημάτων CRM τους ήταν πιθανότατα αρκετά σημαντική ώστε να αξίζει την προσπάθεια.

Το μοτίβο εδώ απηχεί επίσης άλλα περιστατικά υψηλού προφίλ στην αλυσίδα εφοδιασμού, όπου ενδιάμεσοι προμηθευτές χρησίμευσαν ως σημείο εισόδου σε κατά τα άλλα καλά αμυνόμενους οργανισμούς. Οι πλατφόρμες ερευνών αγοράς και ανταγωνιστικών πληροφοριών, οι οποίες συνδέονται τακτικά με CRM και εργαλεία πωλήσεων για την εισαγωγή και ανάλυση δεδομένων, αντιπροσωπεύουν μια αναδυόμενη κατηγορία κινδύνου που πολλές ομάδες ασφαλείας δεν έχουν ιστορικά θέσει ως προτεραιότητα στις αξιολογήσεις προμηθευτών τους.

Τι Σημαίνει Αυτό Για Εσάς

Εάν εργάζεστε ή συνεργάζεστε με οποιαδήποτε από τις επηρεαζόμενες εταιρείες, το άμεσο βήμα είναι να επαληθεύσετε εάν τα δεδομένα του λογαριασμού σας ή οι επιχειρηματικές σας πληροφορίες φιλοξενούνταν στα περιβάλλοντα Salesforce στα οποία αποκτήθηκε πρόσβαση. Επικοινωνήστε απευθείας με τον προμηθευτή και ζητήστε λεπτομέρειες σχετικά με το ποιες κατηγορίες δεδομένων εκτέθηκαν.

Σε ευρύτερο πλαίσιο, αυτό το περιστατικό ενισχύει αρκετές συγκεκριμένες πρακτικές για κάθε οργανισμό που αξιολογεί τη δική του έκθεση σε κίνδυνο:

Ελέγχετε τακτικά τις ενσωματώσεις OAuth και τρίτων μερών. Οποιαδήποτε πλατφόρμα είναι εξουσιοδοτημένη να συνδέεται με το CRM, το email ή τα επιχειρηματικά σας εργαλεία έχει μια σχέση εμπιστοσύνης που πρέπει να επανεξετάζεται και να περιορίζεται στα ελάχιστα απαραίτητα δικαιώματα.
Τμηματοποιήστε την πρόσβαση επιθετικά. Οι προμηθευτές θα πρέπει να λαμβάνουν πρόσβαση μόνο στα δεδομένα που χρειάζονται για να εκτελέσουν τη συγκεκριμένη λειτουργία τους. Ένα εργαλείο πληροφοριών αγοράς που χρειάζεται δεδομένα παρακολούθησης ανταγωνιστών δεν χρειάζεται πλήρη πρόσβαση στο CRM.
Εφαρμόστε στρατηγικές άμυνας σε βάθος σε όλο το σύνολο των προμηθευτών σας. Κανένας μεμονωμένος έλεγχος ασφαλείας δεν είναι επαρκής. Η επίστρωση παρακολούθησης, ελέγχων πρόσβασης και ανίχνευσης ανωμαλιών στις ενσωματώσεις προμηθευτών μειώνει την ακτίνα έκρηξης οποιασδήποτε μεμονωμένης παραβίασης.
Αντιμετωπίστε τη λίστα προμηθευτών σας ως μέρος της επιφάνειας επίθεσής σας. Κάθε εργαλείο SaaS με το οποίο συνδέεται ο οργανισμός σας είναι ένα πιθανό σημείο εισόδου. Οι περιοδικές ανασκοπήσεις του ποιοι προμηθευτές κατέχουν ποια διαπιστευτήρια πρόσβασης μπορούν να αποκαλύψουν απροσδόκητη έκθεση πριν το κάνει ένας επιτιθέμενος.

Το περιστατικό της Klue αποτελεί μια χρήσιμη μελέτη περίπτωσης για το πώς λειτουργούν οι επιθέσεις στην αλυσίδα εφοδιασμού στην πράξη. Οι επιτιθέμενοι δεν χρειάστηκε να νικήσουν τη Huntress ή τη HackerOne στο ίδιο τους το παιχνίδι. Βρήκαν ένα πιο μαλακό σημείο εισόδου, το εκμεταλλεύτηκαν και συνέλεξαν ό,τι υπήρχε εκεί. Για τους χρήστες που ενδιαφέρονται για την ιδιωτικότητα και τους οργανισμούς με επίγνωση της ασφάλειας, το δίδαγμα είναι ότι η στάση ασφαλείας σας είναι τόσο ισχυρή όσο η πιο αδύναμη ενσωμάτωση στο οικοσύστημα προμηθευτών σας. Η επανεξέταση αυτών των συνδέσεων τώρα, πριν από το επόμενο περιστατικό, είναι το πιο πρακτικό πράγμα που μπορεί να κάνει οποιοσδήποτε οργανισμός.