Klue-hack drabbar Huntress, HackerOne och 3 andra säkerhetsföretag

Klue-hack drabbar Huntress, HackerOne och 3 andra säkerhetsföretag

Ett intrång på marknadsinformationsplattformen Klue har utlöst en leverantörskedjeincident som drabbar några av branschens mest välkända namn inom cybersäkerhet. Huntress, HackerOne, Jamf, Recorded Future och Tanium bekräftade alla att data stals som en direkt följd av det tidigare Klue-intrånget. Händelsen är en skarp påminnelse om att även organisationer vars hela affärsmodell bygger på att skydda andra kan fällas av en leverantör de litade på.

Vilka cybersäkerhetsföretag drabbades och vilka data som togs

De fem bekräftade offren spänner över ett brett spektrum av cybersäkerhetssektorn. Huntress fokuserar på hanterad detektion och respons för små och medelstora företag. HackerOne driver en av världens mest använda plattformar för buggbelöningar och sårbarhetsrapportering. Jamf specialiserar sig på hantering av Apple-enheter för företagskunder. Recorded Future är en framstående leverantör av hotunderrättelser. Tanium levererar ändpunktshantering och säkerhet i stor skala.

Alla fem är Klue-kunder. Klue är en marknadsinformationsplattform som hjälper företag att spåra konkurrenters aktiviteter och normalt hämtar in data från en rad anslutna affärsverktyg. Den anslutningsmöjligheten är precis vad som gjorde plattformen till ett högvärdigt mål. Eftersom Klue hade auktoriserade integrationer med sina kunders system kunde ett intrång hos Klue användas som startpunkt in i kundernas miljöer utan att kunderna angreps direkt.

Exakt vilka data som stals från varje företag har inte offentliggjorts i detalj, men exponeringen omfattade kundnära affärssystem snarare än rent intern operativ infrastruktur.

Hur Klue-intrånget blev en leverantörskedjeattack mot säkerhetsleverantörer

Att förloppet kaskaderade från ett marknadsundersökningsföretag till fem cybersäkerhetsföretag illustrerar precis varför leverantörskedjeattacker har blivit så attraktiva för hotaktörer. I stället för att försöka ta sig in hos en hårdnad säkerhetsleverantör direkt angriper angriparen ett mjukare mål tidigare i kedjan som redan har nycklarna.

I Klues fall involverade attackvektorn en OAuth-sårbarhet som gjorde att en hotgrupp kunde få obehörig åtkomst till anslutna Salesforce CRM-data. Som rapporterats tidigare om Klue OAuth-intrånget som möjliggjorde stöld av Salesforce CRM-data utnyttjade hotgruppen "Icarus" detta autentiseringsfel för att förflytta sig i sidled in i Salesforce-miljöer hos flera Klue-kunder. Väl inne i CRM-systemen hade angriparna tillgång till strukturerad affärsdata som företag vanligtvis behandlar som mycket känslig: kundposter, pipeline-information, avtalshistorik och kontokontakter.

Detta är ett skolboksexempel på en leverantörskedjekompromiss. De drabbade organisationerna gjorde ingenting tekniskt fel i hur de skyddade sin egen infrastruktur. Deras exponering kom helt och hållet från att de litade på en tredje part som i sin tur misslyckades med att på ett adekvat sätt skydda de OAuth-integrationer den hanterade.

Varför säkerhetsföretag är högvärdiga mål för hotaktörer

Det kan verka motsägelsefullt att en hotaktör specifikt ger sig på cybersäkerhetsföretag. Dessa organisationer har expertutövare, mogna säkerhetsprogram och bygger ofta själva de verktyg som används för att upptäcka och bemöta attacker.

Men den expertisen fungerar åt båda hållen. Säkerhetsföretag innehar utomordentligt känslig data. HackerOnes plattform sitter till exempel i skärningspunkten mellan sårbarhetsforskning och företagsrapportering. Recorded Future samlar hotunderrättelser som i fel händer kan avslöja vad försvarare vet och inte vet om aktiva hot. Huntress har djup insyn i nätverken hos tusentals småföretag. En motståndare som kan komma åt något av dessa system får inte bara data utan strategisk underrättelseinformation om det bredare säkerhetsekosystemet.

Dessutom är säkerhetsleverantörer ofta djupt integrerade i kundmiljöer just för att deras produkter kräver privilegierad åtkomst för att fungera. Den integrationen skapar större angreppsyta, inte mindre. Företagen som drabbades i Klue-incidenten blev inte inträngda via sina egna produkter, men värdet av det som var åtkomligt via deras CRM-system var sannolikt tillräckligt stort för att göra ansträngningen lönsam.

Mönstret här påminner också om andra högprofilerade leverantörskedjeincidenter där mellanliggande leverantörer fungerade som inkörsport till annars välförsvarade organisationer. Marknadsundersöknings- och konkurrensunderrättelseplattformar, som rutinmässigt kopplar upp sig mot CRM- och säljverktyg för att hämta och analysera data, utgör en växande riskkategori som många säkerhetsteam historiskt sett inte har prioriterat i sina leverantörsbedömningar.

Vad detta betyder för dig

Om du arbetar på eller med något av de drabbade företagen är det omedelbara steget att kontrollera om dina kontodata eller affärsinformation fanns i de Salesforce-miljöer som nåddes. Kontakta leverantören direkt och be om information om vilka datakategorier som exponerades.

I ett bredare perspektiv understryker denna incident flera konkreta åtgärder för varje organisation som utvärderar sin egen riskexponering:

• Granska dina OAuth- och tredjepartsintegrationer regelbundet. Alla plattformar som har behörighet att ansluta till din CRM, e-post eller affärsverktyg har en förtroenderelation som behöver ses över och begränsas till de minimalt nödvändiga behörigheterna.
• Segmentera åtkomst aggressivt. Leverantörer bör bara få åtkomst till den data de behöver för att utföra sin specifika funktion. Ett marknadsinformationsverktyg som behöver konkurrentspårningsdata behöver inte full CRM-åtkomst.
• Tillämpa försvarsstrategier med flera lager över din leverantörskedja. Ingen enskild säkerhetskontroll är tillräcklig. Genom att lägga övervakning, åtkomstkontroller och avvikelsedetektering över leverantörsintegrationer minskar sprängradien vid en enskild kompromiss.
• Behandla din leverantörslista som en del av din attackyta. Varje SaaS-verktyg som din organisation ansluter till är en potentiell inkörsport. Regelbundna genomgångar av vilka leverantörer som har vilka åtkomsträttigheter kan upptäcka oväntad exponering innan en angripare gör det.

Klue-incidenten är en användbar fallstudie i hur leverantörskedjeattacker fungerar i praktiken. Angriparna behövde inte besegra Huntress eller HackerOne på deras egen spelplan. De hittade en mjukare ingång, utnyttjade den och samlade in det som fanns där. För integritetsmedvetna användare och säkerhetsmedvetna organisationer är lärdomen att din säkerhetsstatus bara är så stark som den svagaste integrationen i ditt leverantörsekosystem. Att granska dessa anslutningar nu, innan nästa incident inträffar, är det mest handlingsinriktade en organisation kan göra.