Atak na Klue uderza w Huntress, HackerOne i 3 inne firmy cyberbezpieczeństwa

Atak na Klue uderza w Huntress, HackerOne i 3 inne firmy cyberbezpieczeństwa

Włamanie na platformie wywiadu rynkowego Klue wywołało incydent naruszenia danych w łańcuchu dostaw firm cyberbezpieczeństwa, który dotknął jedne z najbardziej rozpoznawalnych nazw w branży. Huntress, HackerOne, Jamf, Recorded Future i Tanium potwierdziły, że dane zostały skradzione w bezpośrednim następstwie wcześniejszego ataku na Klue. To zdarzenie stanowi wyraźne przypomnienie, że nawet organizacje, których cały model biznesowy opiera się na ochronie innych, mogą paść ofiarą zaufanego dostawcy.

Które firmy cyberbezpieczeństwa padły ofiarą i jakie dane zostały przejęte

Pięć potwierdzonych ofiar obejmuje szeroki przekrój sektora cyberbezpieczeństwa. Huntress koncentruje się na zarządzanym wykrywaniu i reagowaniu dla małych i średnich firm. HackerOne prowadzi jedną z najczęściej używanych na świecie platform do zgłaszania luk w zabezpieczeniach i programów bug bounty. Jamf specjalizuje się w zarządzaniu urządzeniami Apple dla klientów korporacyjnych. Recorded Future to czołowy dostawca informacji o zagrożeniach. Tanium oferuje zarządzanie punktami końcowymi i zabezpieczenia na dużą skalę.

Wszystkie pięć firm jest klientami Klue. Klue to platforma wywiadu rynkowego, która pomaga firmom śledzić działania konkurencji, zazwyczaj pobierając dane z szeregu podłączonych narzędzi biznesowych. Właśnie ta łączność uczyniła ją wartościowym celem. Ponieważ Klue miała autoryzowane integracje z systemami swoich klientów, włamanie do Klue mogło zostać wykorzystane jako wyrzutnia do środowisk tych klientów, bez konieczności bezpośredniego atakowania ich.

Szczegółowe informacje o tym, jakie dane skradziono z poszczególnych firm, nie zostały w pełni ujawnione, ale incydent dotyczył systemów biznesowych obsługujących klientów, a nie wyłącznie wewnętrznej infrastruktury operacyjnej.

Jak włamanie do Klue przekształciło się w atak na łańcuch dostaw dostawców zabezpieczeń

Mechanizm, w jaki sposób incydent rozprzestrzenił się z jednej firmy badawczej na pięć firm cyberbezpieczeństwa, doskonale ilustruje, dlaczego ataki na łańcuch dostaw stały się tak atrakcyjne dla cyberprzestępców. Zamiast próbować bezpośrednio włamać się do zahartowanego dostawcy zabezpieczeń, napastnik kompromituje bardziej miękki wcześniejszy cel, który już posiada klucze.

W przypadku Klue wektor ataku obejmował lukę w OAuth, która umożliwiła grupie cyberprzestępczej uzyskanie nieautoryzowanego dostępu do podłączonych danych Salesforce CRM. Jak informowaliśmy wcześniej w artykule o włamaniu do Klue wykorzystującym OAuth, które doprowadziło do kradzieży danych Salesforce CRM, grupa znana jako „Icarus” wykorzystała tę lukę w uwierzytelnianiu, aby przemieścić się poziomo do środowisk Salesforce wielu klientów Klue. Po uzyskaniu dostępu do tych systemów CRM atakujący mieli wgląd w ustrukturyzowane dane biznesowe, które firmy zazwyczaj traktują jako wysoce wrażliwe: rekordy klientów, informacje o lejach sprzedażowych, historię transakcji i kontakty na kontach.

To podręcznikowy przykład ataku na łańcuch dostaw. Poszkodowane organizacje nie popełniły żadnego błędu technicznego w zabezpieczaniu własnej infrastruktury. Ich narażenie wynikało wyłącznie z zaufania do podmiotu zewnętrznego, który z kolei nie zapewnił odpowiedniej ochrony zarządzanym przez siebie integracjom OAuth.

Dlaczego firmy z branży bezpieczeństwa są cennymi celami dla cyberprzestępców

Może się wydawać nieintuicyjne, że cyberprzestępcy celują akurat w firmy cyberbezpieczeństwa. Organizacje te zatrudniają ekspertów, utrzymują dojrzałe programy bezpieczeństwa i często tworzą same narzędzia używane do wykrywania ataków i reagowania na nie.

Jednak ta ekspertyza działa w obie strony. Firmy z branży bezpieczeństwa przechowują niezwykle wrażliwe dane. Platforma HackerOne, na przykład, znajduje się na styku badań nad podatnościami i korporacyjnych ujawnień. Recorded Future gromadzi informacje o zagrożeniach, które w niepowołanych rękach mogłyby ujawnić, co obrońcy wiedzą, a czego nie wiedzą o aktywnych zagrożeniach. Huntress ma głęboką widoczność w sieciach tysięcy małych firm. Przeciwnik, który uzyska dostęp do któregokolwiek z tych systemów, zdobywa nie tylko dane, ale także strategiczną wiedzę na temat całego ekosystemu bezpieczeństwa.

Co więcej, dostawcy zabezpieczeń często są głęboko zintegrowani ze środowiskami swoich klientów właśnie dlatego, że ich produkty wymagają uprzywilejowanego dostępu do działania. Ta integracja zwiększa powierzchnię ataku, a nie ją zmniejsza. Firmy, które stały się celem w incydencie z Klue, nie zostały zhakowane przez własne produkty, ale wartość danych dostępnych za pośrednictwem ich systemów CRM była prawdopodobnie wystarczająco duża, by atak się opłacał.

Ten schemat przypomina inne głośne incydenty w łańcuchu dostaw, w których pośrednicy stali się punktem wejścia do dobrze zabezpieczonych organizacji. Platformy badań rynkowych i wywiadu konkurencyjnego, które regularnie łączą się z CRM-ami i narzędziami sprzedażowymi, aby pozyskiwać i analizować dane, stanowią wyłaniającą się kategorię ryzyka, której wiele zespołów bezpieczeństwa dotąd nie traktowało priorytetowo w ocenach dostawców.

Co to oznacza dla Ciebie

Jeśli pracujesz w którejś z dotkniętych firm lub współpracujesz z nimi, pierwszym krokiem jest sprawdzenie, czy dane Twojego konta lub informacje biznesowe znajdowały się w środowiskach Salesforce, do których uzyskano dostęp. Skontaktuj się bezpośrednio z dostawcą i poproś o szczegółowe informacje na temat kategorii danych, które zostały ujawnione.

Szerzej rzecz ujmując, ten incydent wzmacnia kilka konkretnych praktyk dla każdej organizacji oceniającej swoją ekspozycję na ryzyko:

• Regularnie audytuj swoje integracje OAuth i zewnętrznych dostawców. Każda platforma, która ma uprawnienia do łączenia się z Twoim CRM, pocztą e-mail czy narzędziami biznesowymi, tworzy relację zaufania, którą należy regularnie weryfikować i ograniczać do minimalnych niezbędnych uprawnień.
• Agresywnie segmentuj dostęp. Dostawcy powinni otrzymywać dostęp wyłącznie do danych potrzebnych im do pełnienia swojej konkretnej funkcji. Narzędzie do wywiadu rynkowego, które potrzebuje danych do śledzenia konkurencji, nie potrzebuje pełnego dostępu do CRM.
• Stosuj strategię obrony w głąb w całym ekosystemie dostawców. Żadne pojedyncze zabezpieczenie nie jest wystarczające. Warstwowe podejście do monitorowania, kontroli dostępu i wykrywania anomalii w integracjach z dostawcami zmniejsza promień rażenia pojedynczego naruszenia.
• Traktuj listę dostawców jako część swojej powierzchni ataku. Każde narzędzie SaaS, z którym łączy się Twoja organizacja, jest potencjalnym punktem wejścia. Okresowe przeglądy tego, którzy dostawcy mają jakie dane uwierzytelniające, mogą ujawnić nieoczekiwane ekspozycje, zanim zrobi to atakujący.

Incydent z Klue stanowi pouczające studium przypadku, jak w praktyce działają ataki na łańcuch dostaw. Atakujący nie musieli pokonywać Huntress czy HackerOne w ich własnej grze. Znaleźli bardziej miękki punkt wejścia, wykorzystali go i zebrali to, co tam było. Zarówno dla użytkowników dbających o prywatność, jak i organizacji świadomych zagrożeń, lekcja jest taka, że poziom bezpieczeństwa jest tylko tak silny, jak najsłabsza integracja w ekosystemie dostawców. Przejrzenie tych połączeń teraz, przed kolejnym incydentem, jest najbardziej konkretnym działaniem, jakie może podjąć każda organizacja.