Злом Klue зачепив Huntress, HackerOne та ще три безпекові компанії

Злом Klue зачепив Huntress, HackerOne та ще три безпекові компанії

Злам на платформі ринкової розвідки Klue спровокував інцидент із ланцюгом постачання, внаслідок якого постраждали дані кібербезпекових компаній, зокрема одні з найвідоміших імен у галузі. Huntress, HackerOne, Jamf, Recorded Future та Tanium підтвердили, що дані було викрадено як прямий наслідок попереднього зламу Klue. Цей інцидент є різким нагадуванням, що навіть організації, чия бізнес-модель повністю побудована на захисті інших, можуть постраждати через постачальника, якому вони довіряли.

Які безпекові компанії постраждали та які дані викрадено

П’ять підтверджених жертв охоплюють широкий спектр сектору кібербезпеки. Huntress спеціалізується на керованому виявленні та реагуванні для малого й середнього бізнесу. HackerOne керує однією з найпоширеніших у світі платформ для баг-баунті та розкриття вразливостей. Jamf зосереджена на управлінні пристроями Apple для корпоративних клієнтів. Recorded Future є відомим постачальником аналітики загроз. Tanium забезпечує управління кінцевими точками та безпеку в масштабі.

Усі п’ять компаній є клієнтами Klue. Klue — це платформа ринкової розвідки, яка допомагає компаніям відстежувати активність конкурентів, зазвичай збираючи дані з низки підключених бізнес-інструментів. Саме ця підключеність і зробила її цінною ціллю. Оскільки Klue мала авторизовані інтеграції з системами своїх клієнтів, злам Klue можна було використати як стартовий майданчик для проникнення в середовища клієнтів без прямої атаки на них.

Які саме дані викрадено з кожної компанії, повністю не розголошується, однак інцидент зачепив клієнтоорієнтовані бізнес-системи, а не суто внутрішню операційну інфраструктуру.

Як злам Klue перетворився на атаку на ланцюг постачання безпекових вендорів

Механіка того, як цей інцидент поширився від однієї дослідницької компанії на п’ять кібербезпекових фірм, наочно демонструє, чому атаки на ланцюг постачання стали такими привабливими для зловмисників. Замість того щоб намагатися напряму зламати захищеного безпекового вендора, зловмисник вражає слабшу вищу за ланцюгом ціль, яка вже має ключі.

У випадку Klue вектор атаки включав уразливість OAuth, яка дозволила зловмисному угрупованню отримати несанкціонований доступ до підключених даних Salesforce CRM. Як повідомлялося в попередньому репортажі про злам OAuth у Klue, що уможливив викрадення даних із Salesforce CRM, угруповання під назвою «Icarus» використало цю вразливість автентифікації, щоб переміститися латерально в середовища Salesforce кількох клієнтів Klue. Опинившись у цих CRM-системах, зловмисники отримали доступ до структурованих бізнес-даних, які компанії зазвичай вважають дуже конфіденційними: записи клієнтів, інформація про воронку продажів, історія угод та контакти облікових записів.

Це класичний приклад компрометації ланцюга постачання. Організації-жертви не зробили технічних помилок у захисті власної інфраструктури. Їхнє ураження сталося виключно через довіру до стороннього постачальника, який, своєю чергою, не зміг належним чином захистити керовані ним OAuth-інтеграції.

Чому безпекові компанії є цінними цілями для зловмисників

Може здатися нелогічним, що зловмисник спеціально полює на кібербезпекові фірми. Такі організації наймають фахівців, підтримують зрілі програми безпеки та часто створюють ті самі інструменти, якими виявляють атаки й реагують на них.

Але ця експертиза має й зворотний бік. Безпекові компанії володіють надзвичайно чутливими даними. Наприклад, платформа HackerOne перебуває на перетині дослідження вразливостей і корпоративного розкриття інформації. Recorded Future агрегує аналітику загроз, яка в недобрих руках може виявити, що саме захисники знають і чого не знають про активні загрози. Huntress має глибоку видимість мереж тисяч малих підприємств. Противник, який отримує доступ до будь-якої з цих систем, здобуває не лише дані, а й стратегічну розвідку про ширшу екосистему безпеки.

Крім того, безпекові вендори часто глибоко інтегровані в середовища клієнтів саме тому, що їхні продукти потребують привілейованого доступу для виконання своїх функцій. Така інтеграція створює більшу поверхню атаки, а не меншу. Компанії, що стали мішенями в інциденті Klue, не були зламані через власні продукти, але цінність даних, доступних через їхні CRM-системи, ймовірно, була достатньо значною, щоб витрачені зусилля окупилися.

Цей випадок також перегукується з іншими гучними інцидентами з ланцюгом постачання, де проміжні вендори слугували точкою входу в добре захищені організації. Платформи ринкових досліджень і конкурентної розвідки, які регулярно підключаються до CRM- та продаж-інструментів для збору й аналізу даних, являють собою нову категорію ризику, якій багато команд безпеки досі не надавали пріоритетної уваги під час оцінки постачальників.

Що це означає для вас

Якщо ви працюєте в будь-якій із постраждалих компаній або з ними, першим кроком має бути перевірка того, чи зберігалися ваші облікові дані або бізнес-інформація в тих середовищах Salesforce, до яких отримали доступ. Зверніться безпосередньо до постачальника й вимагайте конкретної інформації про те, які категорії даних були скомпрометовані.

У ширшому сенсі цей інцидент підкріплює кілька практичних заходів для будь-якої організації, яка оцінює власну схильність до ризику:

• Регулярно аудируйте OAuth-інтеграції та сторонні підключення. Будь-яка платформа, якій надано дозвіл підключатися до вашої CRM, електронної пошти чи бізнес-інструментів, має довірчі відносини, які потрібно переглядати та обмежувати мінімально необхідними дозволами.
• Агресивно сегментуйте доступ. Постачальники повинні отримувати доступ лише до тих даних, які потрібні для виконання їхньої конкретної функції. Інструментові ринкової розвідки, якому потрібні дані для відстеження конкурентів, не потрібен повний доступ до CRM.
• Застосовуйте стратегії глибокого ешелонованого захисту в усьому стеку постачальників. Жоден окремий засіб контролю не є достатнім. Поєднання моніторингу, контролю доступу та виявлення аномалій для інтеграцій постачальників зменшує радіус ураження будь-якої окремої компрометації.
• Ставтеся до списку постачальників як до частини вашої поверхні атаки. Кожен SaaS-інструмент, до якого підключається ваша організація, є потенційною точкою проникнення. Періодичний перегляд того, які постачальники мають які облікові дані, може виявити несподівану вразливість раніше, ніж це зробить зловмисник.

Інцидент з Klue є корисним прикладом того, як на практиці працюють атаки на ланцюг постачання. Зловмисникам не потрібно було перемагати Huntress чи HackerOne на їхньому полі. Вони знайшли слабшу точку входу, використали її й зібрали те, що там було. Для всіх, хто дбає про приватність і безпеку, урок полягає в тому, що ваша безпекова стійкість настільки ж міцна, наскільки слабка найвразливіша інтеграція у вашій екосистемі постачальників. Перевірка цих зв’язків зараз, до наступного інциденту, — це найпрактичніша дія, яку може зробити будь-яка організація.