Klue-hack rammer Huntress, HackerOne og 3 andre sikkerhetsselskaper

Klue-hack rammer Huntress, HackerOne og 3 andre sikkerhetsselskaper

Et datainnbrudd hos markedsintelligensplattformen Klue har utløst en forsyningskjedehendelse med datainnbrudd i cybersikkerhetsselskaper, som rammer noen av de mest kjente navnene i bransjen. Huntress, HackerOne, Jamf, Recorded Future og Tanium bekreftet alle at data ble stjålet som en direkte følge av det tidligere Klue-kompromisset. Hendelsen er en skarp påminnelse om at selv organisasjoner hvis hele forretningsmodell er bygget rundt å beskytte andre, kan bli rammet av en leverandør de stolte på.

Hvilke cybersikkerhetsselskaper ble rammet og hvilke data ble stjålet

De fem bekreftede ofrene dekker et bredt spekter av cybersikkerhetssektoren. Huntress er spesialisert på administrert deteksjon og respons for små og mellomstore bedrifter. HackerOne driver en av verdens mest brukte plattformer for bug bounty og sårbarhetsrapportering. Jamf spesialiserer seg på administrasjon av Apple-enheter for bedriftskunder. Recorded Future er en fremtredende leverandør av trusselintelligens. Tanium leverer endepunktadministrasjon og sikkerhet i stor skala.

Alle fem er Klue-kunder. Klue er en markedsintelligensplattform som hjelper selskaper med å spore konkurrentaktivitet, og som vanligvis henter data fra en rekke tilkoblede forretningsverktøy. Denne tilkoblingen er nettopp det som gjorde plattformen til et høyverdig mål. Fordi Klue hadde autoriserte integrasjoner med kundens systemer, kunne et innbrudd hos Klue brukes som en utskytningsrampe inn i kundenes miljøer uten å angripe kundene direkte.

Nøyaktig hvilke data som ble stjålet fra hvert selskap er ikke fullstendig offentliggjort, men eksponeringen omfattet kundevendte forretningssystemer snarere enn rent intern operasjonell infrastruktur.

Hvordan Klues datainnbrudd ble et leverandørkjedeangrep mot sikkerhetsleverandører

Mekanismen for hvordan dette forplantet seg fra ett markedsanalysefirma til fem cybersikkerhetsselskaper illustrerer nøyaktig hvorfor leverandørkjedeangrep har blitt så attraktive for trusselaktører. I stedet for å prøve å bryte seg inn hos en herdet sikkerhetsleverandør direkte, kompromitterer en angriper et mykere oppstrømsmål som allerede har nøklene.

I Klues tilfelle innebar angrepsvektoren en OAuth-sårbarhet som tillot en trusselgruppe å få uautorisert tilgang til tilkoblede Salesforce CRM-data. Som dekket i tidligere rapportering om Klue OAuth-bruddet som muliggjorde tyveri av Salesforce CRM-data, utnyttet trusselgruppen kjent som «Icarus» denne autentiseringsfeilen for å bevege seg sideveis inn i Salesforce-miljøene til flere Klue-kunder. Når de først var inne i CRM-systemene, hadde angriperne tilgang til strukturerte forretningsdata som selskaper typisk behandler som svært sensitive: kunderegistre, informasjon om salgsmuligheter, avtalehistorikk og kontokontakter.

Dette er et skoleeksempel på leverandørkjedekompromittering. Offerorganisasjonene gjorde ingenting teknisk galt i måten de sikret sin egen infrastruktur på. Eksponeringen skyldtes utelukkende tilliten til en tredjepart som på sin side ikke greide å beskytte OAuth-integrasjonene de forvaltet på en tilstrekkelig måte.

Hvorfor sikkerhetsselskaper er høyverdige mål for trusselaktører

Det kan virke kontraintuitivt at en trusselaktør spesifikt skulle gå etter cybersikkerhetsselskaper. Disse organisasjonene har ekspertpraktikere, opprettholder modne sikkerhetsprogrammer og bygger ofte selve verktøyene som brukes til å oppdage og håndtere angrep.

Men denne ekspertisen er et tveegget sverd. Sikkerhetsselskaper besitter ekstraordinært sensitive data. HackerOnes plattform, for eksempel, befinner seg i skjæringspunktet mellom sårbarhetsforskning og selskapers rapportering. Recorded Future samler trusselintelligens som, i feil hender, kan avsløre hva forsvarere vet og ikke vet om aktive trusler. Huntress har dyp innsyn i nettverkene til tusenvis av små bedrifter. En motstander som får tilgang til noen av disse systemene, får ikke bare data, men strategisk etterretning om det bredere sikkerhetsøkosystemet.

Dessuten er sikkerhetsleverandører ofte dypt integrert i kundemiljøer nettopp fordi produktene deres krever privilegert tilgang for å utføre jobben sin. Denne integrasjonen skaper mer angrepsflate, ikke mindre. Selskapene som ble rammet i Klue-hendelsen, ble ikke kompromittert gjennom sine egne produkter, men verdien av det som var tilgjengelig via CRM-systemene deres var trolig stor nok til å gjøre innsatsen verdt det.

Mønsteret her minner også om andre høyprofilerte leverandørkjedehendelser der mellomliggende leverandører fungerte som inngangspunkt til ellers godt forsvarte organisasjoner. Markedsanalyse- og konkurranseintelligensplattformer, som rutinemessig kobler seg til CRM-er og salgsverktøy for å hente inn og analysere data, utgjør en økende risikokategori som mange sikkerhetsteam historisk sett ikke har prioritert i sine leverandørvurderinger.

Hva dette betyr for deg

Hvis du jobber i eller med noen av de berørte selskapene, er det første steget å kontrollere om kontodata eller forretningsinformasjon befant seg i Salesforce-miljøene som ble aksessert. Kontakt leverandøren direkte og be om spesifikke opplysninger om hvilke datakategorier som ble eksponert.

Mer generelt forsterker denne hendelsen flere konkrete praksiser for enhver organisasjon som vurderer sin egen risikoeksponering:

• Gjennomgå OAuth- og tredjepartsintegrasjoner regelmessig. Enhver plattform som er autorisert til å koble seg til CRM, e-post eller forretningsverktøy, har et tillitsforhold som må gjennomgås og begrenses til de minst nødvendige tillatelsene.
• Segmenter tilgang aggressivt. Leverandører bør kun få tilgang til de dataene de trenger for å utføre sin spesifikke funksjon. Et markedsintelligensverktøy som trenger konkurrentsporingsdata, trenger ikke full CRM-tilgang.
• Bruk forsvarsdybdestrategier i leverandørkjeden. Ingen enkelt sikkerhetskontroll er tilstrekkelig. Lagdeling av overvåking, tilgangskontroller og avviksdeteksjon på tvers av leverandørintegrasjoner reduserer skadeomfanget ved et enkelt kompromiss.
• Behandle leverandørlisten som en del av angrepsflaten. Hvert SaaS-verktøy organisasjonen kobler seg til, er et potensielt inngangspunkt. Periodiske gjennomganger av hvilke leverandører som har tilgangsrettigheter, kan avdekke uventet eksponering før en angriper gjør det.

Klue-hendelsen er et nyttig case-studie i hvordan leverandørkjedeangrep fungerer i praksis. Angriperne trengte ikke å slå Huntress eller HackerOne på deres egen hjemmebane. De fant et mykere inngangspunkt, utnyttet det og samlet inn det som fantes der. For personvernbevisste brukere og sikkerhetsorienterte organisasjoner er lærdommen at sikkerhetsstillingen din bare er så sterk som den svakeste integrasjonen i leverandørøkosystemet ditt. Å gjennomgå disse forbindelsene nå, før neste hendelse, er det mest handlingsrettede en organisasjon kan gjøre.