Atacul asupra Klue afectează Huntress, HackerOne și alte 3 firme de securitate

Atacul asupra Klue afectează Huntress, HackerOne și alte 3 firme de securitate

O breșă la platforma de inteligență de piață Klue a declanșat un incident în lanț de compromitere a datelor în rândul companiilor de securitate cibernetică, afectând unele dintre cele mai cunoscute nume din industrie. Huntress, HackerOne, Jamf, Recorded Future și Tanium au confirmat cu toate că le-au fost furate date ca o consecință directă a compromiterii anterioare a Klue. Incidentul este un memento dur că până și organizațiile al căror întreg model de afaceri este construit în jurul protejării altora pot fi doborâte de un furnizor în care au avut încredere.

Ce firme de securitate cibernetică au fost afectate și ce date au fost sustrase

Cele cinci victime confirmate acoperă o gamă largă a sectorului securității cibernetice. Huntress se concentrează pe detecția și răspunsul gestionat pentru întreprinderi mici și mijlocii. HackerOne operează una dintre cele mai utilizate platforme de bug bounty și divulgare a vulnerabilităților din lume. Jamf este specializată în gestionarea dispozitivelor Apple pentru clienții enterprise. Recorded Future este un furnizor proeminent de informații despre amenințări. Tanium oferă gestionarea și securitatea endpoint-urilor la scară largă.

Toate cele cinci sunt clienți Klue. Klue este o platformă de inteligență de piață care ajută companiile să urmărească activitatea concurenței, ingerând de obicei date dintr-o serie de instrumente de business conectate. Această conectivitate este exact ceea ce a transformat-o într-o țintă de mare valoare. Deoarece Klue avea integrări autorizate cu sistemele clienților săi, o breșă la Klue putea fi folosită ca rampă de lansare în mediile acelor clienți, fără a ataca vreodată direct acei clienți.

Datele specifice furate de la fiecare firmă nu au fost dezvăluite complet, dar expunerea a implicat sisteme de business orientate către clienți, mai degrabă decât infrastructura operațională pur internă.

Cum a devenit breșa Klue un atac asupra lanțului de aprovizionare al furnizorilor de securitate

Mecanismul prin care acest incident s-a propagat de la o singură firmă de cercetare de piață la cinci companii de securitate cibernetică ilustrează exact de ce atacurile asupra lanțului de aprovizionare au devenit atât de atractive pentru actorii amenințărilor. În loc să încerce să spargă direct un furnizor de securitate bine fortificat, un atacator compromite o țintă din amonte, mai vulnerabilă, care deține deja cheile de acces.

În cazul Klue, vectorul de atac a implicat o vulnerabilitate OAuth care a permis unui grup de amenințare să obțină acces neautorizat la datele CRM Salesforce conectate. Așa cum s-a relatat într-un articol anterior despre breșa OAuth Klue care a facilitat furtul de date din CRM-ul Salesforce, grupul de amenințare cunoscut sub numele de „Icarus” a exploatat această defecțiune de autentificare pentru a se deplasa lateral în mediile Salesforce ale mai multor clienți Klue. Odată ajunși în interiorul acelor sisteme CRM, atacatorii au avut acces la date structurate de business pe care companiile le tratează de obicei ca fiind extrem de sensibile: înregistrări ale clienților, informații despre pipeline, istoricul tranzacțiilor și contactele conturilor.

Aceasta este o compromitere de manual a lanțului de aprovizionare. Organizațiile victime nu au făcut nimic greșit din punct de vedere tehnic în modul în care și-au securizat propria infrastructură. Expunerea lor a provenit în întregime din încrederea acordată unei terțe părți care, la rândul ei, nu a reușit să protejeze adecvat integrările OAuth pe care le gestiona.

De ce companiile de securitate devin ținte de mare valoare pentru actorii amenințărilor

Ar putea părea contraintuitiv că un actor al amenințărilor ar viza în mod specific firmele de securitate cibernetică. Aceste organizații angajează practicieni experți, mențin programe de securitate mature și adesea construiesc chiar instrumentele utilizate pentru a detecta și a răspunde la atacuri.

Dar această expertiză este o sabie cu două tăișuri. Companiile de securitate dețin date extrem de sensibile. Platforma HackerOne, de exemplu, se află la intersecția dintre cercetarea vulnerabilităților și divulgarea corporativă. Recorded Future agregă informații despre amenințări care, în mâini greșite, ar putea dezvălui ce știu și ce nu știu apărătorii despre amenințările active. Huntress are o vizibilitate profundă în rețelele a mii de întreprinderi mici. Un adversar care poate accesa oricare dintre aceste sisteme obține nu doar date, ci și informații strategice despre ecosistemul de securitate mai larg.

Mai mult decât atât, furnizorii de securitate sunt adesea profund integrați în mediile clienților tocmai pentru că produsele lor necesită acces privilegiat pentru a-și face treaba. Această integrare creează mai multă suprafață de atac, nu mai puțină. Companiile vizate în incidentul Klue nu au fost compromise prin propriile produse, dar valoarea a ceea ce era accesibil prin sistemele lor CRM a fost probabil suficient de semnificativă pentru a justifica efortul.

Tiparul de aici amintește și de alte incidente de profil înalt din lanțul de aprovizionare, în care furnizorii intermediari au servit drept punct de intrare în organizații altfel bine apărate. Platformele de cercetare de piață și de inteligență competitivă, care se conectează în mod curent la CRM-uri și instrumente de vânzări pentru a ingera și analiza date, reprezintă o categorie emergentă de risc pe care multe echipe de securitate nu au prioritizat-o istoric în evaluările furnizorilor lor.

Ce înseamnă asta pentru tine

Dacă lucrezi la sau cu oricare dintre firmele afectate, pasul imediat este să verifici dacă datele contului tău sau informațiile de business au fost stocate în mediile Salesforce care au fost accesate. Contactează direct furnizorul și solicită detalii specifice despre ce categorii de date au fost expuse.

Mai larg, acest incident consolidează câteva practici concrete pentru orice organizație care își evaluează propria expunere la risc:

• Auditează-ți regulat integrările OAuth și pe cele cu terțe părți. Orice platformă autorizată să se conecteze la CRM-ul, e-mailul sau instrumentele de business are o relație de încredere care trebuie revizuită și limitată la permisiunile minime necesare.
• Segmentează accesul în mod agresiv. Furnizorii ar trebui să primească acces doar la datele de care au nevoie pentru a-și îndeplini funcția specifică. Un instrument de inteligență de piață care are nevoie de date de urmărire a concurenței nu are nevoie de acces complet la CRM.
• Aplică strategii de apărare în profunzime pe întregul tău portofoliu de furnizori. Niciun singur control de securitate nu este suficient. Suprapunerea monitorizării, controalelor de acces și detecției anomaliilor în cadrul integrărilor cu furnizorii reduce raza de impact a oricărei compromiteri individuale.
• Tratează-ți lista de furnizori ca parte a suprafeței tale de atac. Fiecare instrument SaaS la care organizația ta se conectează este un potențial punct de intrare. Revizuirile periodice ale furnizorilor care dețin ce credențiale de acces pot scoate la iveală expuneri neașteptate înainte ca un atacator să o facă.

Incidentul Klue este un studiu de caz util despre cum funcționează în practică atacurile asupra lanțului de aprovizionare. Atacatorii nu au avut nevoie să învingă Huntress sau HackerOne la propriul lor joc. Au găsit un punct de intrare mai vulnerabil, l-au exploatat și au colectat ce era acolo. Pentru utilizatorii preocupați de confidențialitate și organizațiile conștiente de securitate deopotrivă, lecția este că postura ta de securitate este la fel de puternică precum cea mai slabă integrare din ecosistemul tău de furnizori. Revizuirea acelor conexiuni acum, înainte de următorul incident, este cel mai acționabil lucru pe care orice organizație îl poate face.