การรั่วไหลของ OAuth บน Klue จุดชนวนให้กลุ่ม Icarus ขโมยข้อมูล CRM บน Salesforce

การรั่วไหลของ OAuth บน Klue เปิดทางให้กลุ่ม Icarus เข้าถึงข้อมูล CRM บน Salesforce

การรั่วไหลข้อมูลองค์กรจากช่องโหว่ OAuth ที่ได้รับการยืนยันบนแพลตฟอร์มข่าวกรองตลาด Klue ทำให้กลุ่มภัยคุกคามที่รู้จักในชื่อ “Icarus” สามารถเข้าถึงข้อมูล CRM ของ Salesforce โดยไม่ได้รับอนุญาต ซึ่งเป็นของหลายองค์กร ขณะนี้ผู้โจมตีกำลังดำเนินแคมเปญรีดไถต่อบริษัทที่ได้รับผลกระทบอย่างแข็งขัน เหตุการณ์นี้จึงนับเป็นการรั่วไหลข้อมูลผ่าน SaaS บุคคลที่สามซึ่งส่งผลกระทบรุนแรงที่สุดครั้งหนึ่งในความทรงจำเมื่อไม่นานมานี้ เหตุการณ์ดังกล่าวเป็นสัญญาณชัดเจนว่าเส้นทางที่ง่ายที่สุดสู่ข้อมูลในองค์กรกำลังเปลี่ยนมาสู่การโจมตีผ่านการเชื่อมต่อซอฟต์แวร์ที่ได้รับความไว้วางใจ แทนที่จะเจาะเข้าระบบเครือข่ายโดยตรง

การรั่วไหลของ OAuth บน Klue ทำให้ Icarus เข้าถึงข้อมูล CRM ของ Salesforce ได้อย่างไร

OAuth เป็นมาตรฐานการมอบสิทธิ์ที่ใช้กันอย่างแพร่หลาย ซึ่งอนุญาตให้แอปพลิเคชันบุคคลที่สามเข้าถึงทรัพยากรในนามผู้ใช้ โดยไม่ต้องเปิดเผยข้อมูลประจำตัวสำหรับเข้าสู่ระบบโดยตรง ในกรณีนี้ Klue ซึ่งเป็นเครื่องมือข่าวกรองแข่งขันที่องค์กรเชื่อมต่อเข้ากับระบบภายในของตน ประสบปัญหาการรั่วไหลของการใช้งาน OAuth การรั่วไหลดังกล่าวเปิดประตูให้กลุ่ม Icarus ก้าวข้ามผ่านไปยังสภาพแวดล้อม CRM ของ Salesforce ในหลายองค์กร

กลไกที่ใช้มีความสำคัญ เมื่อผู้โจมตีสามารถยึดโทเค็น OAuth ได้ หรือใช้ประโยชน์จากข้อบกพร่องในการออกหรือตรวจสอบโทเค็น ผู้โจมตีจะได้รับสิทธิ์ทั้งหมดที่โทเค็นนั้นถือครองอยู่ หาก Klue ได้รับสิทธิ์เข้าถึงอินสแตนซ์ Salesforce ของลูกค้าอย่างกว้างขวาง ซึ่งเป็นสิ่งที่เครื่องมือข่าวกรองตลาดมักต้องการเพื่อดึงข้อมูลยอดขายและไปป์ไลน์ Icarus ก็จะก้าวเข้าไปในระดับสิทธิ์นั้น โดยไม่ก่อให้เกิดการแจ้งเตือนจากการเข้าสู่ระบบแบบเดิมที่ทีมรักษาความปลอดภัยใช้เฝ้าระวัง

หลังจากการขโมยข้อมูลจึงเกิดการรีดไถ กลุ่ม Icarus ดูเหมือนจะดำเนินการตามแผนที่ชัดเจนคือ ขโมยข้อมูล CRM ที่ละเอียดอ่อน แล้วกดดันให้องค์กรที่ตกเป็นเหยื่อจ่ายเงินเพื่อป้องกันการเผยแพร่หรือนำข้อมูลไปใช้ในทางที่ผิด

เหตุใดการเชื่อมต่อ SaaS บุคคลที่สามจึงกลายเป็นพื้นผิวการโจมตีที่ขยายขึ้น

การรั่วไหลของ Klue สอดคล้องกับรูปแบบที่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนกันมานานหลายปี องค์กรต่าง ๆ เชื่อมต่อแพลตฟอร์ม SaaS หลายสิบตัวเข้ากับระบบธุรกิจหลักอย่าง Salesforce เป็นประจำ โดยมักให้สิทธิ์กว้าง ๆ กับแพลตฟอร์มเหล่านั้นตั้งแต่ตอนเริ่มต้น และไม่เคยกลับมาตรวจสอบสิทธิ์เหล่านั้นอีกเลย การเชื่อมต่อแต่ละจุดล้วนเป็นสะพานเชื่อมระหว่างข้อมูลที่ละเอียดอ่อนที่สุดของคุณกับระดับความปลอดภัยของผู้ให้บริการรายอื่น

ปัญหานี้บางครั้งเรียกว่าปัญหา “ห่วงโซ่อุปทาน” สำหรับซอฟต์แวร์คลาวด์ ระบบป้องกันขององค์กรคุณอาจแข็งแกร่ง แต่ผู้ให้บริการที่มีการควบคุมอ่อนแอกว่าและได้รับสิทธิ์ OAuth กว้าง ๆ ใน CRM ของคุณนั้น แท้จริงแล้วคือทางเข้าด้านข้าง ผู้โจมตีอย่าง Icarus เข้าใจเรื่องนี้ดีและออกล่าหาช่องทางนี้อย่างแข็งขัน

อีกประการที่ควรทราบคือ การบุกรุกในลักษณะนี้แทบจะไม่เริ่มต้นจากการโจมตีทางเทคนิคเพียงอย่างเดียว กลวิธี วิศวกรรมสังคม ซึ่งรวมถึงแคมเปญฟิชชิ่งที่ออกแบบมาเพื่อขโมยโทเค็น OAuth หรือหลอกให้พนักงานอนุญาตแอปพลิเคชันที่เป็นอันตราย มักเป็นจุดเริ่มต้นจากปัจจัยมนุษย์ก่อนจะมีการดัดแปลงทางเทคนิคใด ๆ โดยเฉพาะฟิชชิ่ง OAuth มีความซับซ้อนมากขึ้นเรื่อย ๆ โดยผู้โจมตีสร้างหน้าจอขอความยินยอมที่น่าเชื่อถือ ซึ่งเลียนแบบกระบวนการขออนุญาตของแอปพลิเคชันจริง

ข้อมูลใดที่ถูกเปิดเผย และองค์กรใดบ้างที่ตกอยู่ในความเสี่ยง

ระบบ CRM ของ Salesforce จัดเก็บข้อมูลที่มีความอ่อนไหวเชิงพาณิชย์มากที่สุดบางส่วนที่องค์กรบริหารจัดการ ได้แก่ ไปป์ไลน์การขาย บันทึกข้อมูลลูกค้า มูลค่าดีล บันทึกภายในเกี่ยวกับลูกค้าเป้าหมาย และแผนงานของลูกค้าเชิงกลยุทธ์ สำหรับกลุ่ม Icarus ข้อมูลประเภทนี้คือเนื้อหาที่สร้างอำนาจต่อรองสูงสุดในสถานการณ์รีดไถ เหยื่อไม่เพียงเผชิญความเสี่ยงต่อชื่อเสียง แต่ยังรวมถึงความเสียหายทางการแข่งขันหากข้อมูลที่อ่อนไหวต่อดีลไปถึงคู่แข่งหรือถูกเผยแพร่สู่สาธารณะ

การรั่วไหลครั้งนี้ส่งผลกระทบต่อหลายองค์กรที่เชื่อมต่อ Klue เข้ากับสภาพแวดล้อม Salesforce ของตน แม้จะยังไม่มีการยืนยันขอบเขตผู้เสียหายทั้งหมดอย่างเป็นทางการ แต่บริษัทใดก็ตามที่ใช้แพลตฟอร์มข่าวกรองตลาดของ Klue และให้สิทธิ์การเข้าถึงแบบบูรณาการกับอินสแตนซ์ Salesforce ของตน ควรถือว่าตนอาจได้รับผลกระทบ จนกว่าจะยืนยันเป็นอย่างอื่นผ่านการตรวจสอบด้านความปลอดภัยของตนเอง

องค์กรในภาคธุรกิจที่ข่าวกรองแข่งขันเป็นฟังก์ชันหลัก เช่น เทคโนโลยี บริการทางการเงิน และซอฟต์แวร์องค์กร มีแนวโน้มเป็นผู้ใช้งานแพลตฟอร์มอย่าง Klue อย่างหนัก และควรให้ความสำคัญในการทบทวนเป็นลำดับแรก

การป้องกันแบบหลายชั้น: โมเดล Zero-Trust, VPN และการเสริมความแข็งแกร่งให้การเชื่อมต่อ OAuth

เหตุการณ์ของ Klue และ Icarus เน้นย้ำว่าทำไมแนวทางความปลอดภัยแบบหลายชั้นจึงไม่ใช่ทางเลือกสำหรับธุรกิจที่จัดการ CRM และข้อมูลลูกค้าที่ละเอียดอ่อน มาตรการควบคุมหลายประการมีความเกี่ยวข้องเป็นพิเศษดังนี้

ประการแรก สุขอนามัยของการให้สิทธิ์ OAuth ควรได้รับความสนใจทันที องค์กรควรตรวจสอบทุกแอปพลิเคชันบุคคลที่สามที่มีการเชื่อมต่อ OAuth ที่ยังใช้งานได้กับระบบหลักอย่าง Salesforce เพิกถอนสิทธิ์ที่ไม่จำเป็นอีกต่อไป และใช้หลักสิทธิ์น้อยที่สุดสำหรับสิทธิ์ที่ยังคงอยู่ การจำกัดขอบเขตสิทธิ์จะช่วยลดรัศมีความเสียหายหากผู้ให้บริการที่เชื่อมต่อรายใดถูกบุกรุก

ประการที่สอง โมเดลการเข้าถึงแบบ Zero-Trust ถือว่าไม่มีการเชื่อมต่อใดทั้งภายในหรือภายนอกที่เชื่อถือได้โดยอัตโนมัติ การบังคับใช้การตรวจสอบยืนยันอย่างต่อเนื่องกับการเชื่อมต่อ API และการบูรณาการ SaaS แทนที่จะปฏิบัติต่อโทเค็น OAuth ที่ได้รับอนุญาตแล้วว่าปลอดภัยโดยปริยาย สามารถช่วยตรวจจับพฤติกรรมที่ผิดปกติได้ แม้ในกรณีที่ข้อมูลประจำตัวดูถูกต้อง

ประการที่สาม ช่องทางเครือข่ายที่เข้ารหัสเพิ่มชั้นการปกป้องให้กับข้อมูลที่ส่งระหว่างระบบที่บูรณาการกัน โปรโตคอลอย่าง SSTP ซึ่งส่งทราฟฟิกผ่านการเข้ารหัส SSL/TLS เป็นตัวอย่างหนึ่งของวิธีที่องค์กรสามารถ เสริมความแข็งแกร่งให้ชั้นเครือข่าย ระหว่างแพลตฟอร์มที่เชื่อมต่อกัน ซึ่งช่วยลดความเสี่ยงจากการดักจับข้อมูล แม้ในสถานการณ์ที่ข้อมูลประจำตัวระดับแอปพลิเคชันเข้าไปเกี่ยวข้อง

สุดท้าย การเฝ้าติดตามรูปแบบการเข้าถึงข้อมูลที่ผิดปกติใน Salesforce เอง รวมถึงการส่งออกข้อมูลจำนวนมาก การเรียก API ที่ไม่คาดคิด หรือการเข้าถึงจากไคลเอนต์ OAuth ที่ไม่คุ้นเคย สามารถให้สัญญาณเตือนล่วงหน้าถึงการรั่วไหลที่กำลังเกิดขึ้นได้

สิ่งนี้หมายถึงอะไรสำหรับคุณ

หากองค์กรของคุณใช้การบูรณาการ SaaS บุคคลที่สามที่เชื่อมต่อกับ Salesforce หรือแพลตฟอร์ม CRM ใด ๆ การรั่วไหลครั้งนี้นับเป็นสัญญาณที่ชี้ชวนให้คุณลงมือทันที แคมเปญของ Icarus แสดงให้เห็นว่าผู้โจมตีไม่ได้รอให้คุณทำผิดพลาดแบบชัดเจน พวกเขากำลังใช้ประโยชน์จากความสัมพันธ์ที่ไว้วางใจระหว่างผู้ให้บริการซอฟต์แวร์ที่คุณพึ่งพาอยู่ทุกวัน

เริ่มต้นด้วยการดึงรายชื่อแอปพลิเคชัน OAuth ทั้งหมดที่ได้รับอนุญาตให้เข้าถึงสภาพแวดล้อม Salesforce ของคุณ ตรวจสอบแต่ละรายการถึงความจำเป็น ขอบเขตสิทธิ์ และระดับความปลอดภัยของผู้ให้บริการที่อยู่เบื้องหลัง จากนั้นจัดทำกระบวนการที่ทำซ้ำเพื่อปฏิบัติการตรวจสอบนี้ ไม่ใช่เพียงการตรวจสอบครั้งเดียว

การเข้าใจว่าการโจมตีเช่นนี้เริ่มต้นอย่างไรก็สำคัญไม่แพ้กัน เพราะ วิศวกรรมสังคม มักเกิดขึ้นก่อนการโจมตีทางเทคนิคเสมอ การฝึกอบรมพนักงานให้รู้จักฟิชชิ่ง OAuth และคำขออนุญาตที่น่าสงสัย จึงเป็นขั้นตอนที่ปฏิบัติได้จริงและสร้างผลกระทบสูง โดยไม่ต้องใช้งบประมาณจำนวนมาก การป้องกันแบบหลายชั้นจะได้ผลก็ต่อเมื่อมีการรวมชั้นมนุษย์เข้าไว้ด้วย