Dlaczego CISA ostrzega CISO o naruszeniu w Sisense – Krebs on Security

the Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury CISA oświadczyła dzisiaj, że prowadzi dochodzenie w sprawie włamania do firmy zajmującej się wywiadem gospodarczym Sisense, której produkty zaprojektowano tak, aby umożliwiały firmom przeglądanie stanu online wielu usług stron trzecich na jednym pulpicie nawigacyjnym. CISA nalegała, aby wszyscy klienci Sisense zresetowali wszelkie dane uwierzytelniające i tajemnice, które mogły zostać udostępnione firmie, zgodnie z tą samą radą, jaką Sisense udzielił swoim klientom w środę wieczorem.

Sisense z siedzibą w Nowym Jorku ma ponad 1000 klientów z różnych sektorów przemysłu, w tym usług finansowych, telekomunikacji, opieki zdrowotnej i szkolnictwa wyższego. 10 kwietnia Sangram Dash, dyrektor ds. bezpieczeństwa informacji w Sisense Powiedziała klientom, że firmie znane są raporty mówiące, że „niektóre informacje korporacyjne Sisense mogą być dostępne na serwerze o ograniczonym dostępie (który, jak nam powiedziano, nie jest ogólnie dostępny w Internecie)”.

„Traktujemy tę sprawę bardzo poważnie i natychmiast rozpoczęliśmy dochodzenie” – kontynuował Dash. „Zaangażowaliśmy wiodących w branży ekspertów, aby pomogli nam w dochodzeniu. Sprawa ta nie spowodowała przerwy w naszej działalności biznesowej. Ze względu na zachowanie dużej ostrożności i w miarę kontynuowania dochodzenia wzywamy Państwa do natychmiastowej wymiany wszelkich danych uwierzytelniających używasz w aplikacji Sisense.

W swoim ostrzeżeniu CISA podała, że ​​współpracuje z prywatnymi partnerami z branży, aby zareagować na niedawny kompromis odkryty przez niezależnych badaczy bezpieczeństwa z udziałem Sisense.

„CISA odgrywa aktywną rolę we współpracy z partnerami branżowymi z sektora prywatnego, aby zareagować na ten incydent, szczególnie w odniesieniu do organizacji sektora infrastruktury krytycznej, których to dotyczy” – czytamy w rozproszonym ostrzeżeniu. „Będziemy dostarczać aktualizacje, gdy będzie dostępnych więcej informacji”.

Sisense odmówił komentarza zapytany o prawdziwość informacji przekazanych przez dwa wiarygodne źródła posiadające szczegółową wiedzę na temat dochodzenia w sprawie naruszenia. Źródła te podają, że naruszenie prawdopodobnie rozpoczęło się, gdy napastnicy w jakiś sposób uzyskali dostęp do repozytorium kodów firmy w Gitlabie, które zawierało token lub dane uwierzytelniające, które umożliwiły przestępcom dostęp do zasobników Amazon S3 firmy Sisense w chmurze.

Obydwa źródła podają, że napastnicy wykorzystali dostęp S3 do skopiowania i filtrowania kilku terabajtów danych klientów Sisense, które najwyraźniej obejmowały miliony tokenów dostępu, hasła do kont e-mail, a nawet certyfikaty SSL.

Incydent rodzi pytania o to, czy Sisense zrobił wystarczająco dużo, aby chronić poufne dane powierzone mu przez klientów, na przykład czy ogromna ilość skradzionych danych klientów została zaszyfrowana na serwerach w chmurze Amazona.

Jasne jest jednak, że nieznani napastnicy posiadają teraz wszystkie dane uwierzytelniające, których klienci Sisense używali w swoich pulpitach nawigacyjnych.

Hack pokazuje również, że Sisense ma nieco ograniczone działania porządkowe, jakie może podjąć w imieniu klientów, ponieważ tokeny dostępu to w zasadzie pliki tekstowe na Twoim komputerze, które pozwalają Ci pozostać zalogowanym przez długi czas – czasami na czas nieokreślony. W zależności od usługi, o której mówimy, atakujący mogą ponownie wykorzystać te tokeny dostępu do uwierzytelnienia się jako ofiara bez konieczności podawania prawidłowych danych uwierzytelniających.

Poza tym to w dużej mierze klienci Sisense decydują, czy i kiedy zmienić hasła do różnych usług stron trzecich, które wcześniej powierzyli Sisense.

Dzisiaj rano firma PR współpracująca z Sisense skontaktowała się z nami, aby sprawdzić, czy KrebsOnSecurity planuje opublikować dalsze aktualizacje na temat włamania (KrebsOnSecurity opublikował zrzut ekranu wiadomości e-mail klienta CISO do obu LinkedIn I Mastodont Środa wieczór). Przedstawicielka ds. public relations powiedziała, że ​​Sisense chce mieć pewność, że przed opublikowaniem artykułu będzie miał możliwość wyrażenia swoich opinii.

Kiedy jednak Sisense zetknęła się ze szczegółami udostępnionymi przez moje źródła, wydaje się, że zmieniła zdanie.

„Po konsultacji z Sisense powiedzieli mi, że nie chcą odpowiadać” – powiedział przedstawiciel PR w odpowiedzi e-mailem.

Mikołaj Weaverbadacz z Uniwersytetu Kalifornijskiego, Międzynarodowego Instytutu Informatyki (ICSI) w Berkeley i wykładowca Uniwersytetu Kalifornijskiego w Davis, stwierdził, że firma, której powierzono wiele wrażliwych loginów, powinna szyfrować te informacje.

„Jeśli przechowują dane klientów w systemie innej firmy, takim jak Amazon, lepiej, aby były one zaszyfrowane” – powiedział Weaver. „Jeśli proszą ludzi o zresetowanie danych uwierzytelniających, oznacza to, że nie zostały zaszyfrowane. Zatem pierwszym błędem jest pozostawienie danych uwierzytelniających Amazon w archiwum Git. Drugim błędem jest używanie S3 bez użycia szyfrowania. Pierwszy jest zły, ale do zaakceptowania, ale Ten ostatni jest niewybaczalny, biorąc pod uwagę jego czyny.

Zaktualizowano o 18:49 ET: CISO Dash firmy Sisense właśnie wysłał aktualizację bezpośrednio do klientów. Najnowsza rada firmy jest znacznie bardziej szczegółowa i obejmuje resetowanie potencjalnie dużej liczby tokenów dostępu w wielu technologiach, w tym poświadczeń Microsoft Active Directory, poświadczeń GIT, tokenów dostępu do sieci oraz wszelkich tajnych lub tokenów pojedynczego logowania (SSO). .

Pełna wiadomość od Dash do klientów znajduje się poniżej:

„Dobry wieczór,

Podążamy za naszą wcześniejszą komunikacją z dnia 10 kwietnia 2024 r. dotyczącą raportów, że niektóre informacje Sisense mogą być dostępne na serwerze z ograniczonym dostępem. Jak już wspomnieliśmy, traktujemy tę sprawę poważnie i nasze dochodzenie jest w toku.

Nasi klienci muszą zresetować wszelkie klucze, tokeny i inne dane uwierzytelniające w swoim środowisku używanym w aplikacji Sisense.

W szczególności musisz:
– Zmień swoje hasło: Zmień wszystkie hasła związane z Sisense na http://my.sisense.com
– Inne niż pojedyncze logowanie:
— Zastąp klucz tajny w sekcji Zabezpieczenia konfiguracji podstawowej własnym identyfikatorem GUID/UUID.
– Zresetuj hasła dla wszystkich użytkowników w aplikacji Sysense.
– Wyloguj wszystkich użytkowników, uruchamiając GET /api/v1/authentication/logout_all w obszarze administratora.
– Pojedyncze logowanie (SSO):
– Jeśli używasz SSO JWT do uwierzytelniania użytkowników w Sisense, będziesz musiał zaktualizować sso.shared_secret w Sisense, a następnie użyć nowo utworzonej wartości po stronie obsługi SSO.
– Zdecydowanie zalecamy zmianę certyfikatu x.509 dla dostawcy tożsamości SSO SAML.
– Jeśli używasz OpenID, konieczna jest również zmiana sekretu klienta.
– Po tych modyfikacjach zaktualizuj ustawienia SSO w Sisense o zmienione wartości.
– Wyloguj wszystkich użytkowników, uruchamiając GET /api/v1/authentication/logout_all w obszarze administratora.
– Poświadczenia bazy danych klientów: Zresetuj w swojej bazie danych poświadczenia, które były używane w aplikacji Sisense, aby zapewnić ciągłość komunikacji między systemami.
– Formularze danych: zmień wszystkie nazwy użytkowników i hasła w ciągu połączenia z bazą danych w Formularzach danych.
– Parametry użytkownika: Jeśli korzystasz z funkcji Parametry użytkownika, zresetuj ją.
– Active Directory/LDAP: Zmień nazwę użytkownika i hasło użytkownika dla użytkowników, których autoryzacja jest używana do synchronizacji AD.
– Uwierzytelnianie HTTP dla GIT: Wdróż poświadczenia w każdym projekcie GIT.
– Klienci B2D: Użyj następującego wywołania API PATCH api/v2/b2d w sekcji Administracja, aby zaktualizować połączenie B2D.
– Aplikacje infuzyjne: obracaj powiązane klawisze.
– Token dostępu do sieci: Obróć wszystkie tokeny.
– Dedykowany serwer e-mail: zarządzaj powiązanymi poświadczeniami.
– Kod niestandardowy: Zresetuj wszelkie sekrety pojawiające się w notatnikach za pomocą niestandardowego kodu.

Jeśli potrzebujesz pomocy, prześlij zgłoszenie do obsługi klienta na stronie https://community.sisense.com/t5/support-portal/bd-p/SupportPortal i oznacz je jako krytyczne. Mamy wyspecjalizowany zespół reagowania, który jest w stanie gotowości, aby pomóc w realizacji Twoich żądań.

W Sisense przywiązujemy najwyższą wagę do bezpieczeństwa i zależy nam na sukcesie naszych klientów. Dziękujemy za partnerstwo i zaangażowanie na rzecz naszego wzajemnego bezpieczeństwa.

Jest rozważane,

Sangram Dash
Główny specjalista ds. bezpieczeństwa informacji