A Klue-t ért hackertámadás elérte a Huntress-t, a HackerOne-t és további 3 biztonsági céget

A Klue-t ért hackertámadás elérte a Huntress-t, a HackerOne-t és további 3 biztonsági céget

A Klue piacelemző platformot ért adatszivárgás egy kiberbiztonsági vállalatokat érintő ellátási lánc jellegű incidenssé láncolódott, amely az iparág legismertebb szereplőit is elérte. A Huntress, a HackerOne, a Jamf, a Recorded Future és a Tanium egyaránt megerősítette, hogy a korábbi Klue-kompromittálódás közvetlen következményeként adatokat loptak el tőlük. Az eset éles figyelmeztetés arra, hogy még azok a szervezetek is sebezhetővé válhatnak egy beszállítójukon keresztül, amelyeknek teljes üzleti modellje mások védelmére épül.

Mely kiberbiztonsági cégeket érintette a támadás, és milyen adatok kerültek veszélybe

Az öt megerősített áldozat a kiberbiztonsági szektor széles spektrumát lefedi. A Huntress felügyelt fenyegetésészlelési és -reagálási szolgáltatásokat nyújt kis- és középvállalkozások számára. A HackerOne a világ egyik legszélesebb körben használt hibavadász és sebezhetőség-feltáró platformját üzemelteti. A Jamf Apple-eszközök kezelésére specializálódott vállalati ügyfelek számára. A Recorded Future egy kiemelkedő fenyegetés-felderítési szolgáltató. A Tanium pedig nagy léptékű végpontkezelést és -biztonságot kínál.

Mind az öt cég a Klue ügyfele. A Klue egy olyan piacelemző platform, amely segít a vállalatoknak követni versenytársaik tevékenységét, és ehhez jellemzően számos csatlakoztatott üzleti eszközből gyűjt adatokat. Éppen ez az összekapcsoltság tette nagy értékű célponttá. Mivel a Klue engedélyezett integrációkkal rendelkezett ügyfelei rendszereihez, a Klue-t ért adatszivárgást fegyverként lehetett használni, hogy azon keresztül behatoljanak az ügyfelek környezetébe anélkül, hogy közvetlenül megtámadták volna őket.

Az egyes cégektől ellopott konkrét adatokat nem hozták teljes körűen nyilvánosságra, de az érintett környezetek ügyfélkapcsolati üzleti rendszerek voltak, nem pedig tisztán belső működési infrastruktúrák.

Hogyan vált a Klue adatszivárgása biztonsági szállítókat érintő ellátási lánc támadássá

Annak mechanizmusa, hogy miként láncolódott tovább az incidens egyetlen piacelemző cégtől öt kiberbiztonsági vállalatig, pontosan szemlélteti, miért váltak az ellátási lánc elleni támadások annyira vonzóvá a fenyegető szereplők számára. Ahelyett, hogy megpróbálnának közvetlenül feltörni egy megerősített biztonsági szállítót, a támadók egy gyengébb, lánc elején elhelyezkedő célpontot kompromittálnak, amely már rendelkezik a kulcsokkal.

A Klue esetében a támadási vektor egy OAuth sebezhetőség volt, amely lehetővé tette egy fenyegető csoport számára, hogy jogosulatlan hozzáférést szerezzen csatlakoztatott Salesforce CRM-adatokhoz. Ahogy arról korábbi tudósításunkban a Salesforce CRM-adatok ellopását lehetővé tevő Klue OAuth-adatszivárgásról beszámoltunk, az „Icarus" néven ismert fenyegető csoport kihasználta ezt a hitelesítési hibát, hogy oldalirányban több Klue-ügyfél Salesforce-környezetébe is behatoljon. Amint bejutottak ezekbe a CRM-rendszerekbe, a támadók olyan strukturált üzleti adatokhoz fértek hozzá, amelyeket a vállalatok jellemzően rendkívül érzékenynek tekintenek: ügyfélnyilvántartások, értékesítési csatorna információk, üzleti előzmények és kapcsolattartói adatok.

Ez egy tankönyvi ellátási lánc kompromittálódás. Az áldozat szervezetek technikailag semmit sem csináltak rosszul saját infrastruktúrájuk védelme során. Kitettségük teljes egészében abból fakadt, hogy megbíztak egy olyan harmadik félben, amely viszont nem védte megfelelően az általa kezelt OAuth-integrációkat.

Miért jelentenek a biztonsági cégek nagy értékű célpontokat a fenyegető szereplők számára

Ellentmondásosnak tűnhet, hogy egy fenyegető szereplő kifejezetten kiberbiztonsági cégeket céloz meg. Ezek a szervezetek szakértő gyakorlati szakembereket alkalmaznak, kiforrott biztonsági programokat tartanak fenn, és gyakran éppen azokat az eszközöket építik, amelyeket a támadások észlelésére és a reagálásra használnak.

Ez a szakértelem azonban kétélű fegyver. A biztonsági cégek rendkívül érzékeny adatokat birtokolnak. A HackerOne platformja például a sebezhetőségi kutatás és a vállalati közzététel metszéspontjában helyezkedik el. A Recorded Future olyan fenyegetés-felderítési adatokat aggregál, amelyek rossz kezekbe kerülve felfedhetik, hogy a védők mit tudnak és mit nem az aktív fenyegetésekről. A Huntress mély rálátással bír kisvállalkozások ezreinek hálózataira. Az az ellenfél, aki ezekhez a rendszerekhez hozzáfér, nem csupán adatokhoz jut, hanem stratégiai információhoz a szélesebb biztonsági ökoszisztémáról is.

Ráadásul a biztonsági szállítók termékei gyakran éppen azért integrálódnak mélyen az ügyfélkörnyezetekbe, mert a működésükhöz privilegizált hozzáférésre van szükség. Ez az integráció azonban nagyobb támadási felületet, nem pedig kisebbet eredményez. A Klue-incidensben érintett cégeket nem a saját termékeiken keresztül törték fel, de a CRM-rendszereikben elérhető adatok értéke valószínűleg elég jelentős volt ahhoz, hogy megérje a fáradságot.

A minta itt más nagy horderejű ellátási lánc incidensekre is emlékeztet, ahol a közvetítő szállítók szolgáltak belépési pontként az egyébként jól védett szervezetek felé. A piacelemző és versenytársfigyelő platformok, amelyek rutinszerűen kapcsolódnak CRM-ekhez és értékesítési eszközökhöz az adatok begyűjtése és elemzése érdekében, a kockázat egy feltörekvő kategóriáját képviselik, amelynek számos biztonsági csapat korábban nem tulajdonított kiemelt fontosságot a szállítói értékelések során.

Mit jelent ez Ön számára

Ha Ön bármelyik érintett cégnél dolgozik, vagy velük áll kapcsolatban, az azonnali lépés annak ellenőrzése, hogy az Ön fiókadatai vagy üzleti információi megtalálhatók voltak-e azokban a Salesforce-környezetekben, amelyekhez hozzáfértek. Lépjen kapcsolatba közvetlenül a szállítóval, és kérjen részletes tájékoztatást arról, hogy milyen adatkategóriák kerültek nyilvánosságra.

Tágabb értelemben ez az incidens számos konkrét gyakorlat fontosságát erősíti meg minden olyan szervezet számára, amely saját kockázati kitettségét értékeli:

• Rendszeresen ellenőrizze OAuth- és harmadik féltől származó integrációit. Minden olyan platform, amely jogosult csatlakozni az Ön CRM-jéhez, e-mailjéhez vagy üzleti eszközeihez, olyan bizalmi kapcsolatot jelent, amelyet felül kell vizsgálni, és a jogosultságokat a minimálisan szükséges szintre kell korlátozni.
• Agresszíven szegmentálja a hozzáférést. A szállítók csak azokhoz az adatokhoz kapjanak hozzáférést, amelyek az adott funkciójuk ellátásához szükségesek. Egy piacelemző eszköznek, amelynek versenytársfigyelési adatokra van szüksége, nincs szüksége teljes CRM-hozzáférésre.
• Alkalmazzon mélységi védelmi stratégiákat a teljes szállítói környezetére. Egyetlen biztonsági kontroll sem elegendő. A felügyelet, a hozzáférés-szabályozás és a rendellenességek észlelésének rétegezése a szállítói integrációk között csökkenti bármely egyedi kompromittálódás hatókörét.
• Kezelje szállítói listáját a támadási felülete részeként. Minden SaaS-eszköz, amelyhez a szervezete csatlakozik, potenciális belépési pontot jelent. A szállítók hozzáférési jogosultságainak időszakos felülvizsgálata feltárhatja a nem várt kitettségeket, mielőtt egy támadó tenné meg ugyanezt.

A Klue-incidens hasznos esettanulmányként szolgál arra, hogyan működnek a gyakorlatban az ellátási lánc elleni támadások. A támadóknak nem kellett legyőzniük a Huntress-t vagy a HackerOne-t a saját játékukban. Találtak egy gyengébb belépési pontot, kihasználták, és begyűjtötték, ami ott volt. Az adatvédelemre érzékeny felhasználók és a biztonságtudatos szervezetek számára egyaránt az a tanulság, hogy az Ön biztonsági helyzete csak annyira erős, mint a szállítói ökoszisztémája leggyengébb integrációja. E kapcsolatok felülvizsgálata most, még a következő incidens előtt, a leginkább kézzelfogható lépés, amit bármely szervezet megtehet.