Klue-Salesforce Incident – zagrożenie dla BeyondTrust i LastPass
Jeszcze kilka lat temu większość organizacji skupiała się na zabezpieczeniu własnych systemów. Dzisiaj coraz częściej problemem okazuje się zaufany dostawca usług SaaS.
Tak właśnie wygląda incydent związany z platformą Klue. Cyberprzestępcy nie zaatakowali bezpośrednio Salesforce ani produktów BeyondTrust czy LastPass. Zamiast tego przejęli dostęp do infrastruktury Klue i wykorzystali przechowywane tam tokeny OAuth, aby uzyskać dostęp do danych klientów znajdujących się w Salesforce. Szczegółowy opis przebiegu incydentu opublikował CSO Online
https://www.csoonline.com/article/4187907/klue-breach-exposed-salesforce-crm-data-through-stolen-oauth-tokens.html
To klasyczny przykład nowoczesnego ataku na łańcuch dostaw (Supply Chain Attack).
Co dokładnie się wydarzyło?
Według informacji przekazanych przez Klue napastnicy wykorzystali stare, nieużywane już dane uwierzytelniające pozostawione po wcześniejszej integracji. Dzięki nim uzyskali dostęp do infrastruktury firmy, a następnie wygenerowali lub wykradli tokeny OAuth wykorzystywane do komunikacji z systemami klientów.
Dysponując ważnymi tokenami nie musieli łamać zabezpieczeń Salesforce. Dla platformy wyglądali jak legalna aplikacja posiadająca odpowiednie uprawnienia.
Czy Salesforce posiada lukę?
Nie.
Salesforce potwierdził, że nie doszło do wykorzystania podatności w samej platformie. Problem dotyczył wyłącznie aplikacji Klue oraz przechowywanych przez nią tokenów OAuth. W ramach działań zapobiegawczych Salesforce tymczasowo wyłączył integrację Klue Battlecards:
https://status.salesforce.com/generalmessages/20000257
To bardzo ważna różnica, ponieważ wiele pierwszych publikacji sugerowało błędnie, że zaatakowano sam Salesforce.
Jakie firmy potwierdziły wpływ incydentu?
Lista organizacji stale się wydłuża. Wśród firm, które oficjalnie potwierdziły wpływ incydentu, znajdują się między innymi:
- BeyondTrust
- LastPass
- Huntress
- Recorded Future
- HackerOne
- Jamf
- Snyk
- Tanium
- OneTrust
SecurityWeek opublikował zbiorcze zestawienie firm oraz przebieg rozwoju incydentu:
https://www.securityweek.com/more-cybersecurity-firms-disclose-impact-from-klue-hack/
BeyondTrust wyjaśnił również, że naruszenie nie dotyczyło jego produktów, lecz danych biznesowych przechowywanych w Salesforce:
https://www.beyondtrust.com/trust-center/security-advisories/klue-security-incident
Podobny komunikat opublikował LastPass:
https://blog.lastpass.com/posts/klue-supply-chain-incident-and-lastpass-response
Jakie dane mogły zostać przejęte?
Zakres zależy od konfiguracji organizacji, jednak najczęściej obejmuje:
- dane kontaktowe klientów,
- historię komunikacji handlowej,
- oferty,
- szanse sprzedaży,
- informacje o partnerach biznesowych,
- notatki handlowców.
LastPass potwierdził, że nie doszło do naruszenia sejfów haseł ani infrastruktury usługi. Incydent dotyczył wyłącznie danych znajdujących się w Salesforce.
Co powinny zrobić organizacje korzystające z Salesforce?
Jeżeli korzystasz z wielu aplikacji SaaS zintegrowanych z Salesforce, warto potraktować ten incydent jako sygnał ostrzegawczy.
W pierwszej kolejności należy:
- przejrzeć wszystkie Connected Apps,
- usunąć nieużywane integracje,
- unieważnić stare tokeny OAuth,
- przeanalizować logi API,
- zweryfikować zakres przyznanych uprawnień,
- monitorować nietypową aktywność interfejsów API.
W praktyce większość firm przez lata gromadzi dziesiątki integracji, których nikt już nie używa. To właśnie takie zapomniane połączenia bardzo często stają się punktem wejścia dla atakujących.
Wnioski
Incydent Klue pokazuje, że nawet dobrze zabezpieczona organizacja może zostać dotknięta atakiem poprzez zaufanego partnera biznesowego.
Coraz większym zagrożeniem nie są podatności w systemach operacyjnych czy serwerach, ale nadmierne zaufanie do aplikacji SaaS posiadających szerokie uprawnienia OAuth. Regularny przegląd integracji, ograniczanie zakresu uprawnień oraz monitoring aktywności API powinny stać się standardowym elementem cyberbezpieczeństwa każdej organizacji.
Mam też jedną propozycję dla całej serii artykułów BOIT.
Zamiast klasycznej sekcji „Źródła” na końcu proponuję dodawać sekcję:
Sprawdź również
- Oficjalny komunikat Klue: https://klue.com/blog/
- Salesforce Trust & Status: https://status.salesforce.com/
- BeyondTrust Security Advisories: https://www.beyondtrust.com/trust-center/security-advisories
- LastPass Security Blog: https://blog.lastpass.com/
- SecurityWeek – analiza incydentu: https://www.securityweek.com/
- CISA Known Exploited Vulnerabilities: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
