Naruszenie OAuth w Klue napędza kradzież danych z Salesforce CRM przez grupę Icarus

Naruszenie OAuth w Klue napędza kradzież danych z Salesforce CRM przez grupę Icarus

Potwierdzone naruszenie danych przedsiębiorstw wykorzystujące lukę w OAuth na platformie analiz rynkowych Klue dało grupie znanej jako "Icarus" nieautoryzowany dostęp do danych Salesforce CRM należących do wielu organizacji. Atakujący prowadzą obecnie aktywną kampanię wymuszeń wobec dotkniętych firm, co czyni to jedno z bardziej znaczących incydentów naruszeń w zewnętrznych dostawcach SaaS w ostatnim czasie. Incydent jest wyraźnym sygnałem, że ścieżka najmniejszego oporu do danych przedsiębiorstw coraz częściej wiedzie przez zaufane integracje oprogramowania, a nie bezpośrednie włamania do sieci.

Jak naruszenie OAuth w Klue dało Icarus dostęp do danych Salesforce CRM

OAuth to szeroko przyjęty standard autoryzacji, który umożliwia aplikacjom zewnętrznym dostęp do zasobów w imieniu użytkownika bez bezpośredniego ujawniania danych logowania. W tym przypadku Klue, które dostarcza narzędzia analizy konkurencji, które organizacje łączą ze swoimi systemami wewnętrznymi, doświadczyło naruszenia swojej implementacji OAuth. To naruszenie otworzyło drzwi, przez które Icarus przeszedł, aby dotrzeć do środowisk Salesforce CRM w wielu przedsiębiorstwach.

Mechanizm ma tutaj znaczenie. Gdy atakujący przejmie token OAuth lub wykorzysta lukę w sposobie jego wydawania lub walidacji, dziedziczy uprawnienia, które ten token posiada. Jeśli Klue otrzymało szeroki dostęp do instancji Salesforce klienta, co jest często wymagane przez narzędzia analizy rynkowej do pobierania danych sprzedażowych i lejka sprzedaży, to Icarus skutecznie wszedł na ten sam poziom dostępu bez wywoływania typowych alertów opartych na logowaniu, na których polegają zespoły bezpieczeństwa.

Po kradzieży danych nastąpiło wymuszenie. Icarus wydaje się działać według jasnego scenariusza: wydobyć wrażliwe dane CRM, a następnie naciskać na organizacje-ofiary, aby zapłaciły za zapobieżenie ich uwolnieniu lub niewłaściwemu wykorzystaniu.

Dlaczego integracje z zewnętrznymi dostawcami SaaS są rosnącą powierzchnią ataku

Naruszenie w Klue pasuje do wzorca, przed którym specjaliści ds. bezpieczeństwa ostrzegają od lat. Przedsiębiorstwa rutynowo łączą dziesiątki platform SaaS z podstawowymi systemami biznesowymi, takimi jak Salesforce, często przyznając tym platformom szerokie uprawnienia podczas wdrażania i nigdy nie weryfikując tych przyznań później. Każde z tych połączeń jest potencjalnym pomostem między twoimi najbardziej wrażliwymi danymi a czyjąś postawą bezpieczeństwa.

Jest to czasami nazywane problemem "łańcucha dostaw" w oprogramowaniu chmurowym. Zabezpieczenia twojej organizacji mogą być silne, ale dostawca ze słabszymi kontrolami i szerokim przyznaniem OAuth do twojego CRM jest funkcjonalnie bocznym wejściem. Atakujący tacy jak Icarus to rozumieją i aktywnie tego szukają.

Warto również zauważyć, że te kompromitacje rzadko zaczynają się od czysto technicznych exploitów. Taktyki socjotechniczne, w tym kampanie phishingowe zaprojektowane w celu kradzieży tokenów OAuth lub nakłonienia pracowników do autoryzacji złośliwych aplikacji, często służą jako punkt wejścia oparty na czynniku ludzkim, zanim nastąpi jakakolwiek techniczna manipulacja. Phishing OAuth w szczególności stał się bardziej wyrafinowany, a atakujący tworzą przekonujące ekrany zgód, które naśladują legalne przepływy autoryzacji aplikacji.

Jakie dane zostały ujawnione i które organizacje są zagrożone

Systemy Salesforce CRM przechowują jedne z najbardziej wrażliwych komercyjnie danych, którymi zarządza przedsiębiorstwo: lejki sprzedażowe, rekordy kontaktów klientów, wartości transakcji, wewnętrzne notatki dotyczące potencjalnych klientów i strategiczne plany kont. Dla Icarus jest to dokładnie ten rodzaj materiału, który stwarza maksymalną dźwignię w scenariuszu wymuszenia. Ofiary stają w obliczu nie tylko ekspozycji reputacyjnej, ale także szkód konkurencyjnych, jeśli informacje wrażliwe dla transakcji dotrą do rywali lub zostaną opublikowane publicznie.

Naruszenie dotyczy wielu organizacji, które połączyły Klue ze swoimi środowiskami Salesforce, choć pełny zakres ofiar nie został publicznie potwierdzony. Każda firma, która korzystała z platformy analiz rynkowych Klue i przyznała jej dostęp integracyjny do swojej instancji Salesforce, powinna uważać się za potencjalnie dotkniętą, dopóki nie potwierdzi inaczej poprzez własne dochodzenie bezpieczeństwa.

Organizacje w sektorach, w których analiza konkurencji jest podstawową funkcją, w tym technologia, usługi finansowe i oprogramowanie dla przedsiębiorstw, są zazwyczaj intensywnymi użytkownikami platform takich jak Klue i powinny priorytetowo potraktować swój przegląd.

Obrona warstwowa: Zero-Trust, VPN-y i wzmacnianie połączeń OAuth

Incydent Klue i Icarus wzmacnia, dlaczego warstwowe podejście do bezpieczeństwa nie jest opcjonalne dla firm przetwarzających wrażliwe dane CRM i klientów. Kilka kontroli jest tutaj szczególnie istotnych.

Po pierwsze, higiena przyznań OAuth wymaga natychmiastowej uwagi. Organizacje powinny przeprowadzić audyt każdej aplikacji zewnętrznej, która posiada aktywne połączenie OAuth z podstawowymi systemami, takimi jak Salesforce. Odwołaj przyznania, które nie są już potrzebne i zastosuj zasadę najmniejszych uprawnień do tych, które pozostają. Ograniczone, zakresowe uprawnienia zmniejszają promień rażenia, jeśli którykolwiek połączony dostawca zostanie skompromitowany.

Po drugie, modele dostępu zero-trust zakładają, że żadne połączenie, wewnętrzne ani zewnętrzne, nie jest automatycznie godne zaufania. Zastosowanie ciągłej weryfikacji do połączeń API i integracji SaaS, zamiast traktowania autoryzowanych tokenów OAuth jako z natury bezpiecznych, może pomóc w wykrywaniu anomalnych zachowań, nawet gdy poświadczenia wydają się prawidłowe.

Po trzecie, szyfrowane tunele sieciowe dodają warstwę ochrony danych przesyłanych między zintegrowanymi systemami. Protokoły takie jak SSTP, który kieruje ruch przez szyfrowanie SSL/TLS, są jednym z przykładów, jak organizacje mogą wzmacniać warstwę sieciową między połączonymi platformami, zmniejszając ryzyko przechwycenia, nawet gdy zaangażowane są poświadczenia na poziomie aplikacji.

Wreszcie, monitorowanie nietypowych wzorców dostępu do danych w samym Salesforce, w tym eksportów zbiorczych, nieoczekiwanych wywołań API lub dostępu z nieznanych klientów OAuth, może zapewnić wczesne ostrzeżenie o trwającym już naruszeniu.

Co to oznacza dla Ciebie

Jeśli twoja organizacja korzysta z integracji z zewnętrznymi dostawcami SaaS połączonych z Salesforce lub jakąkolwiek inną platformą CRM, to naruszenie jest bezpośrednim wezwaniem do działania. Kampania Icarus ilustruje, że atakujący nie czekają, aż popełnisz oczywisty błąd. Wykorzystują oni relacje zaufania między dostawcami oprogramowania, na których polegasz na co dzień.

Zacznij od pobrania pełnej listy aplikacji OAuth autoryzowanych do dostępu do twojego środowiska Salesforce. Przejrzyj każdą z nich pod kątem konieczności, zakresu uprawnień i postawy bezpieczeństwa stojącego za nią dostawcy. Następnie ustanów cykliczny proces przeprowadzania tego przeglądu, a nie tylko jednorazowy audyt.

Zrozumienie, jak zaczynają się takie ataki, jest równie ważne. Ponieważ socjotechnika tak często poprzedza exploity techniczne, szkolenie personelu w rozpoznawaniu phishingu OAuth i podejrzanych żądań autoryzacji jest praktycznym, wysoce skutecznym krokiem, który nie wymaga znacznego budżetu. Obrona warstwowa działa tylko wtedy, gdy warstwa ludzka jest w nią włączona.