L'attacco informatico a Klue colpisce Huntress, HackerOne e altre tre aziende di sicurezza

L'attacco informatico a Klue colpisce Huntress, HackerOne e altre tre aziende di sicurezza

Una violazione della piattaforma di market intelligence Klue ha innescato un incidente nella catena di fornitura di dati tra aziende di cybersecurity, colpendo alcuni dei nomi più noti del settore. Huntress, HackerOne, Jamf, Recorded Future e Tanium hanno tutte confermato che dati sono stati rubati come conseguenza diretta della precedente compromissione di Klue. L'incidente è un duro promemoria del fatto che anche le organizzazioni il cui intero modello di business è costruito attorno alla protezione degli altri possono essere messe in ginocchio da un fornitore di cui si fidavano.

Quali aziende di cybersecurity sono state colpite e quali dati sono stati sottratti

Le cinque vittime confermate coprono un'ampia gamma del settore della cybersecurity. Huntress è focalizzata sul rilevamento gestito e sulla risposta per piccole e medie imprese. HackerOne gestisce una delle piattaforme di bug bounty e divulgazione delle vulnerabilità più utilizzate al mondo. Jamf è specializzata nella gestione di dispositivi Apple per clienti enterprise. Recorded Future è un importante fornitore di threat intelligence. Tanium offre gestione degli endpoint e sicurezza su larga scala.

Tutte e cinque sono clienti di Klue. Klue è una piattaforma di market intelligence che aiuta le aziende a tracciare l'attività dei concorrenti, tipicamente ingerendo dati da una gamma di strumenti aziendali connessi. Questa connettività è proprio ciò che l'ha resa un obiettivo di alto valore. Poiché Klue aveva integrazioni autorizzate con i sistemi dei propri clienti, una violazione presso Klue poteva essere trasformata in un trampolino di lancio per entrare negli ambienti di quei clienti senza mai attaccarli direttamente.

I dati specifici rubati a ciascuna azienda non sono stati completamente divulgati, ma l'esposizione ha riguardato sistemi aziendali rivolti ai clienti piuttosto che infrastrutture operative puramente interne.

Come la violazione di Klue è diventata un attacco alla catena di fornitura dei fornitori di sicurezza

La dinamica con cui tutto è precipitato da una singola società di ricerche di mercato a cinque aziende di cybersecurity illustra esattamente perché gli attacchi alla catena di fornitura siano diventati così attraenti per gli attori delle minacce. Invece di cercare di violare direttamente un fornitore di sicurezza altamente protetto, un aggressore compromette un bersaglio a monte più debole che ha già le chiavi.

Nel caso di Klue, il vettore d'attacco ha coinvolto una vulnerabilità OAuth che ha permesso a un gruppo di minacce di ottenere accesso non autorizzato ai dati CRM di Salesforce connessi. Come riportato in precedenti articoli su la violazione OAuth di Klue che ha permesso il furto di dati CRM Salesforce, il gruppo noto come “Icarus” ha sfruttato questa falla di autenticazione per muoversi lateralmente negli ambienti Salesforce di diversi clienti di Klue. Una volta all'interno di quei sistemi CRM, gli aggressori avevano accesso a dati aziendali strutturati che le aziende solitamente considerano altamente sensibili: record dei clienti, informazioni sulla pipeline, storico delle trattative e contatti degli account.

Si tratta di un classico compromesso della catena di fornitura. Le organizzazioni vittime non hanno commesso alcun errore tecnico nel proteggere la propria infrastruttura. La loro esposizione è derivata interamente dall'aver dato fiducia a una terza parte che, a sua volta, non è riuscita a proteggere adeguatamente le integrazioni OAuth che gestiva.

Perché le aziende di sicurezza sono obiettivi di alto valore per gli attori delle minacce

Potrebbe sembrare controintuitivo che un attore di minacce prenda di mira specificamente le aziende di cybersecurity. Queste organizzazioni impiegano professionisti esperti, mantengono programmi di sicurezza maturi e spesso costruiscono proprio gli strumenti utilizzati per rilevare e rispondere agli attacchi.

Ma questa competenza è un'arma a doppio taglio. Le aziende di sicurezza detengono dati straordinariamente sensibili. La piattaforma di HackerOne, per esempio, si trova all'intersezione tra la ricerca sulle vulnerabilità e la divulgazione aziendale. Recorded Future aggrega threat intelligence che, nelle mani sbagliate, potrebbe rivelare cosa i difensori sanno e cosa non sanno sulle minacce attive. Huntress ha una profonda visibilità sulle reti di migliaia di piccole imprese. Un avversario che riesca ad accedere a uno qualsiasi di questi sistemi ottiene non solo dati, ma anche informazioni strategiche sull'intero ecosistema della sicurezza.

Inoltre, i fornitori di sicurezza sono spesso profondamente integrati negli ambienti dei clienti proprio perché i loro prodotti richiedono un accesso privilegiato per svolgere il proprio lavoro. Questa integrazione crea una superficie d'attacco più ampia, non più ridotta. Le aziende prese di mira nell'incidente di Klue non sono state violate attraverso i propri prodotti, ma il valore di ciò che era accessibile tramite i loro sistemi CRM era probabilmente abbastanza significativo da rendere lo sforzo proficuo.

Lo schema richiama anche altri incidenti di alto profilo legati alla catena di fornitura, in cui fornitori intermediari sono serviti da punto d'ingresso in organizzazioni per il resto ben difese. Le piattaforme di ricerche di mercato e competitive intelligence, che abitualmente si collegano a CRM e strumenti di vendita per ingerire e analizzare dati, rappresentano una categoria di rischio emergente che molti team di sicurezza non hanno storicamente considerato come priorità nelle proprie valutazioni dei fornitori.

Cosa significa per te

Se lavori presso o con una delle aziende coinvolte, il passo immediato è verificare se i dati del tuo account o le informazioni aziendali erano presenti negli ambienti Salesforce a cui è stato avuto accesso. Contatta direttamente il fornitore e richiedi dettagli specifici su quali categorie di dati sono state esposte.

Più in generale, questo incidente rafforza diverse pratiche concrete per qualsiasi organizzazione che stia valutando la propria esposizione al rischio:

• Verifica regolarmente le tue integrazioni OAuth e di terze parti. Ogni piattaforma autorizzata a connettersi al tuo CRM, alla posta elettronica o agli strumenti aziendali ha una relazione di fiducia che deve essere rivista e limitata ai permessi minimi necessari.
• Segmenta l'accesso in modo rigoroso. I fornitori dovrebbero ricevere accesso solo ai dati necessari per svolgere la loro specifica funzione. Uno strumento di market intelligence che deve tracciare i dati dei concorrenti non ha bisogno di pieno accesso al CRM.
• Applica strategie di difesa in profondità su tutto lo stack dei fornitori. Nessun singolo controllo di sicurezza è sufficiente. Stratificare monitoraggio, controlli di accesso e rilevamento delle anomalie nelle integrazioni con i fornitori riduce il raggio d'impatto di qualsiasi singola compromissione.
• Tratta l'elenco dei fornitori come parte della tua superficie d'attacco. Ogni strumento SaaS a cui la tua organizzazione si connette è un potenziale punto d'ingresso. Revisioni periodiche su quali fornitori detengono quali credenziali di accesso possono portare alla luce esposizioni inaspettate prima che lo faccia un aggressore.

L'incidente di Klue è un utile caso di studio su come funzionano concretamente gli attacchi alla catena di fornitura. Gli aggressori non hanno dovuto battere Huntress o HackerOne sul loro stesso campo. Hanno trovato un punto d'ingresso più debole, lo hanno sfruttato e hanno raccolto ciò che c'era. Per gli utenti attenti alla privacy e per le organizzazioni consapevoli della sicurezza, la lezione è che la propria postura di sicurezza è forte solo quanto l'integrazione più debole nel proprio ecosistema di fornitori. Rivedere ora quelle connessioni, prima del prossimo incidente, è l'azione più concreta che qualsiasi organizzazione possa intraprendere.