Vụ tấn công Klue ảnh hưởng đến Huntress, HackerOne và 3 công ty bảo mật khác

Vụ tấn công Klue ảnh hưởng đến Huntress, HackerOne và 3 công ty bảo mật khác

Sự cố rò rỉ dữ liệu tại nền tảng tình báo thị trường Klue đã gây ra một vụ tấn công chuỗi cung ứng làm lộ dữ liệu của các công ty an ninh mạng, ảnh hưởng đến một số tên tuổi dễ nhận diện nhất trong ngành. Huntress, HackerOne, Jamf, Recorded Future và Tanium đều xác nhận dữ liệu đã bị đánh cắp như một hậu quả trực tiếp từ vụ xâm phạm Klue trước đó. Sự việc này là lời nhắc nhở rõ ràng rằng ngay cả những tổ chức có toàn bộ mô hình kinh doanh xoay quanh việc bảo vệ người khác cũng có thể bị hạ gục bởi một nhà cung cấp mà họ tin tưởng.

Những công ty an ninh mạng nào bị ảnh hưởng và dữ liệu nào đã bị lấy

Năm nạn nhân được xác nhận trải dài trên nhiều lĩnh vực của ngành an ninh mạng. Huntress tập trung vào phát hiện và phản ứng được quản lý cho các doanh nghiệp vừa và nhỏ. HackerOne vận hành một trong những nền tảng bug bounty và công bố lỗ hổng bảo mật được sử dụng rộng rãi nhất thế giới. Jamf chuyên quản lý thiết bị Apple cho khách hàng doanh nghiệp. Recorded Future là một nhà cung cấp tình báo mối đe dọa nổi bật. Tanium cung cấp giải pháp quản lý điểm cuối và bảo mật ở quy mô lớn.

Cả năm đều là khách hàng của Klue. Klue là một nền tảng tình báo thị trường giúp các công ty theo dõi hoạt động của đối thủ cạnh tranh, thường thu thập dữ liệu từ một loạt các công cụ kinh doanh được kết nối. Chính khả năng kết nối đó đã biến nó thành mục tiêu có giá trị cao. Bởi vì Klue đã ủy quyền tích hợp với hệ thống của khách hàng, một vụ xâm phạm tại Klue có thể bị vũ khí hóa thành bàn đạp để xâm nhập vào môi trường của những khách hàng đó mà không cần tấn công trực tiếp vào họ.

Dữ liệu cụ thể bị đánh cắp từ mỗi công ty chưa được tiết lộ đầy đủ, nhưng vụ lộ dữ liệu liên quan đến các hệ thống kinh doanh hướng tới khách hàng hơn là cơ sở hạ tầng vận hành thuần túy nội bộ.

Làm thế nào vụ xâm phạm Klue trở thành cuộc tấn công chuỗi cung ứng vào các nhà cung cấp bảo mật

Cơ chế lan truyền từ một công ty nghiên cứu thị trường sang năm công ty an ninh mạng minh họa chính xác lý do tại sao các cuộc tấn công chuỗi cung ứng trở nên hấp dẫn đối với các tác nhân đe dọa. Thay vì cố gắng xâm phạm trực tiếp một nhà cung cấp bảo mật kiên cố, kẻ tấn công xâm phạm một mục tiêu đầu nguồn dễ dàng hơn mà đã nắm giữ chìa khóa.

Trong trường hợp của Klue, vector tấn công liên quan đến một lỗ hổng OAuth cho phép một nhóm đe dọa truy cập trái phép vào dữ liệu CRM Salesforce được kết nối. Như đã đưa tin trước đây về vụ xâm phạm OAuth của Klue dẫn đến đánh cắp dữ liệu CRM Salesforce, nhóm đe dọa có tên "Icarus" đã khai thác lỗ hổng xác thực này để di chuyển ngang vào môi trường Salesforce của nhiều khách hàng của Klue. Khi đã xâm nhập vào các hệ thống CRM đó, kẻ tấn công có quyền truy cập vào dữ liệu kinh doanh có cấu trúc mà các công ty thường coi là rất nhạy cảm: hồ sơ khách hàng, thông tin pipeline, lịch sử giao dịch và địa chỉ liên hệ khách hàng.

Đây là một vụ xâm phạm chuỗi cung ứng điển hình. Các tổ chức nạn nhân không làm gì sai về mặt kỹ thuật trong cách họ bảo mật cơ sở hạ tầng của chính mình. Rủi ro của họ đến hoàn toàn từ việc tin tưởng một bên thứ ba, và bên này đã không bảo vệ đầy đủ các tích hợp OAuth mà họ quản lý.

Tại sao các công ty bảo mật là mục tiêu có giá trị cao đối với tác nhân đe dọa

Thoạt nghe có vẻ phi lý khi một tác nhân đe dọa lại nhắm mục tiêu cụ thể vào các công ty an ninh mạng. Những tổ chức này tuyển dụng các chuyên gia thực hành, duy trì các chương trình bảo mật hoàn thiện, và thường xây dựng chính các công cụ được sử dụng để phát hiện và phản ứng với các cuộc tấn công.

Nhưng lợi thế chuyên môn đó lại là con dao hai lưỡi. Các công ty bảo mật nắm giữ dữ liệu cực kỳ nhạy cảm. Ví dụ, nền tảng của HackerOne nằm ở giao điểm của nghiên cứu lỗ hổng bảo mật và công bố thông tin của doanh nghiệp. Recorded Future tổng hợp tình báo mối đe dọa mà nếu rơi vào tay kẻ xấu, có thể tiết lộ những gì người phòng thủ biết và không biết về các mối đe dọa đang hoạt động. Huntress có khả năng giám sát sâu vào mạng lưới của hàng nghìn doanh nghiệp nhỏ. Một kẻ thù có thể truy cập bất kỳ hệ thống nào trong số này không chỉ thu được dữ liệu mà còn cả thông tin tình báo chiến lược về hệ sinh thái bảo mật rộng lớn hơn.

Hơn nữa, các nhà cung cấp bảo mật thường được tích hợp sâu vào môi trường khách hàng chính vì sản phẩm của họ yêu cầu quyền truy cập đặc quyền để thực hiện chức năng. Sự tích hợp đó tạo ra nhiều bề mặt tấn công hơn, chứ không phải ít đi. Các công ty bị nhắm đến trong vụ Klue không bị xâm phạm thông qua sản phẩm của chính họ, nhưng giá trị của những gì có thể truy cập được thông qua hệ thống CRM của họ có lẽ đủ lớn để khiến nỗ lực này trở nên đáng giá.

Mô hình ở đây cũng giống các vụ tấn công chuỗi cung ứng nổi tiếng khác, nơi các nhà cung cấp trung gian đóng vai trò là điểm xâm nhập vào các tổ chức được phòng thủ tốt. Các nền tảng nghiên cứu thị trường và tình báo cạnh tranh, thường xuyên kết nối với CRM và các công cụ bán hàng để thu thập và phân tích dữ liệu, đại diện cho một loại rủi ro mới nổi mà nhiều đội ngũ bảo mật trước đây chưa ưu tiên trong các đánh giá nhà cung cấp của họ.

Điều này có ý nghĩa gì đối với bạn

Nếu bạn làm việc tại hoặc với bất kỳ công ty bị ảnh hưởng nào, bước ngay lập tức là xác minh xem dữ liệu tài khoản hoặc thông tin kinh doanh của bạn có nằm trong các môi trường Salesforce bị truy cập hay không. Liên hệ trực tiếp với nhà cung cấp và yêu cầu thông tin chi tiết về những loại dữ liệu nào đã bị lộ.

Rộng hơn, sự cố này củng cố một số thực hành cụ thể cho bất kỳ tổ chức nào đang đánh giá mức độ rủi ro của chính mình:

• Thường xuyên kiểm tra các tích hợp OAuth và bên thứ ba. Bất kỳ nền tảng nào được ủy quyền kết nối với CRM, email hoặc các công cụ kinh doanh của bạn đều có mối quan hệ tin cậy cần được xem xét và giới hạn ở các quyền tối thiểu cần thiết.
• Phân đoạn quyền truy cập một cách quyết liệt. Các nhà cung cấp chỉ nên nhận được quyền truy cập vào dữ liệu họ cần để thực hiện chức năng cụ thể của mình. Một công cụ tình báo thị trường cần dữ liệu theo dõi đối thủ cạnh tranh thì không cần quyền truy cập CRM đầy đủ.
• Áp dụng chiến lược phòng thủ theo chiều sâu trên toàn bộ hệ thống nhà cung cấp của bạn. Không một kiểm soát bảo mật đơn lẻ nào là đủ. Việc phân lớp giám sát, kiểm soát truy cập và phát hiện bất thường trên các tích hợp nhà cung cấp giúp giảm phạm vi ảnh hưởng của bất kỳ vụ xâm phạm đơn lẻ nào.
• Coi danh sách nhà cung cấp là một phần của bề mặt tấn công của bạn. Mọi công cụ SaaS mà tổ chức của bạn kết nối đến đều là một điểm xâm nhập tiềm năng. Việc rà soát định kỳ nhà cung cấp nào nắm giữ thông tin xác thực truy cập gì có thể phát hiện ra các rủi ro bất ngờ trước khi kẻ tấn công làm điều đó.

Vụ việc Klue là một nghiên cứu điển hình hữu ích về cách các cuộc tấn công chuỗi cung ứng hoạt động trong thực tế. Những kẻ tấn công không cần phải đánh bại Huntress hay HackerOne trong chính cuộc chơi của họ. Chúng tìm thấy một điểm xâm nhập dễ dàng hơn, khai thác nó và thu thập những gì có ở đó. Đối với cả người dùng quan tâm đến quyền riêng tư và các tổ chức có ý thức về bảo mật, bài học là tư thế bảo mật của bạn chỉ mạnh bằng mắt xích yếu nhất trong hệ sinh thái nhà cung cấp. Xem xét các kết nối đó ngay bây giờ, trước khi sự cố tiếp theo xảy ra, là điều thiết thực nhất mà bất kỳ tổ chức nào cũng có thể làm.