Dlaczego CISA ostrzega CISO o naruszeniu w Sisense – Krebs on Security

the Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury CISA oświadczyła dzisiaj, że prowadzi dochodzenie w sprawie włamania do firmy zajmującej się wywiadem gospodarczym Sisense, której produkty zaprojektowano tak, aby umożliwiały firmom przeglądanie stanu online wielu usług stron trzecich na jednym pulpicie nawigacyjnym. CISA nalegała, aby wszyscy klienci Sisense zresetowali wszelkie dane uwierzytelniające i tajemnice, które mogły zostać udostępnione firmie, zgodnie z tą samą radą, jaką Sisense udzielił swoim klientom w środę wieczorem.

Sisense z siedzibą w Nowym Jorku ma ponad tysiąc klientów z różnych sektorów przemysłu, w tym usług finansowych, telekomunikacji, opieki zdrowotnej i szkolnictwa wyższego. 10 kwietnia Sangram Dash, dyrektor ds. bezpieczeństwa informacji w Sisense Powiedziała klientom, że firmie znane są raporty mówiące, że „niektóre informacje korporacyjne Sisense mogą być dostępne na serwerze o ograniczonym dostępie (który, jak nam powiedziano, nie jest ogólnie dostępny w Internecie)”.

„Traktujemy tę sprawę bardzo poważnie i natychmiast rozpoczęliśmy dochodzenie” – kontynuował Dash. „Zaangażowaliśmy wiodących w branży ekspertów, aby pomogli nam w dochodzeniu. Sprawa ta nie spowodowała przerwy w naszej działalności biznesowej. Ze względu na zachowanie dużej ostrożności i w miarę kontynuowania dochodzenia wzywamy Państwa do natychmiastowej wymiany wszelkich danych uwierzytelniających używasz w aplikacji Sisense.

W swoim ostrzeżeniu CISA podała, że ​​współpracuje z prywatnymi partnerami z branży, aby zareagować na niedawny kompromis odkryty przez niezależnych badaczy bezpieczeństwa z udziałem Sisense.

„CISA odgrywa aktywną rolę we współpracy z partnerami branżowymi z sektora prywatnego, aby zareagować na ten incydent, szczególnie w odniesieniu do organizacji sektora infrastruktury krytycznej, których to dotyczy” – czytamy w rozproszonym ostrzeżeniu. „Będziemy dostarczać aktualizacje, gdy będzie dostępnych więcej informacji”.

Sisense odmówił komentarza zapytany o prawdziwość informacji przekazanych przez dwa wiarygodne źródła posiadające szczegółową wiedzę na temat dochodzenia w sprawie naruszenia. Źródła te podają, że naruszenie prawdopodobnie rozpoczęło się, gdy napastnicy w jakiś sposób uzyskali dostęp do repozytorium kodu firmy Gitlab, w którym znajdował się token lub dane uwierzytelniające, które umożliwiły przestępcom dostęp do zasobników Amazon S3 firmy Sisense w chmurze.

READ  Wykresy sugerują, że Twitter, Valero i Occidental mogą zbiegać się

Klienci mogą używać Gitlab jako rozwiązania hostowanego w chmurze na Gitlab.com lub jako samozarządzane wdrożenie. KrebsOnSecurity rozumie, że Sisense korzystał z samodzielnie zarządzanej wersji Gitlaba.

Obydwa źródła podają, że napastnicy wykorzystali dostęp S3 do skopiowania i filtrowania kilku terabajtów danych klientów Sisense, które najwyraźniej obejmowały miliony tokenów dostępu, hasła do kont e-mail, a nawet certyfikaty SSL.

Incydent rodzi pytania o to, czy Sisense zrobił wystarczająco dużo, aby chronić poufne dane, które powierzyli mu klienci, np. czy ogromna ilość skradzionych danych klientów została zaszyfrowana na serwerach w chmurze Amazona.

Jasne jest jednak, że nieznani napastnicy posiadają teraz wszystkie dane uwierzytelniające, których klienci Sisense używali w swoich pulpitach nawigacyjnych.

Hack pokazuje również, że Sisense ma nieco ograniczone działania porządkowe, jakie może podjąć w imieniu klientów, ponieważ tokeny dostępu to w zasadzie pliki tekstowe na Twoim komputerze, które pozwalają Ci pozostać zalogowanym przez długi czas – czasami na czas nieokreślony. W zależności od usługi, o której mówimy, atakujący mogą ponownie wykorzystać te tokeny dostępu do uwierzytelnienia się jako ofiara bez konieczności podawania prawidłowych danych uwierzytelniających.

Poza tym to w dużej mierze klienci Sisense decydują, czy i kiedy zmienić hasła do różnych usług stron trzecich, które wcześniej powierzyli Sisense.

Dzisiaj rano firma PR współpracująca z Sisense skontaktowała się z nami, aby sprawdzić, czy KrebsOnSecurity planuje opublikować dalsze aktualizacje na temat włamania (KrebsOnSecurity opublikował zrzut ekranu wiadomości e-mail klienta CISO do obu LinkedIn I Mastodont Środa wieczór). Przedstawicielka ds. public relations powiedziała, że ​​Sisense chce mieć pewność, że przed opublikowaniem artykułu będzie miał możliwość wyrażenia swoich opinii.

Kiedy jednak Sisense zetknęła się ze szczegółami udostępnionymi przez moje źródła, wydaje się, że zmieniła zdanie.

READ  Ropa spada o 3% w związku z niepewnością co do przyszłej produkcji OPEC+ i obawami o recesję

„Po konsultacji z Sisense powiedzieli mi, że nie chcą odpowiadać” – powiedział przedstawiciel PR w odpowiedzi e-mailem.

Zaktualizowano o 18:49 ET: Dodano wyjaśnienie, że Sisense korzysta z wersji Gitlab hostowanej samodzielnie, a nie wersji w chmurze zarządzanej przez Gitlab.com.

Ponadto CISO Dash firmy Sisense wysłał aktualizację bezpośrednio do klientów. Najnowsza rada firmy jest znacznie bardziej szczegółowa i obejmuje resetowanie potencjalnie dużej liczby tokenów dostępu w wielu technologiach, w tym poświadczeń Microsoft Active Directory, poświadczeń GIT, tokenów dostępu do sieci oraz wszelkich tajnych lub tokenów pojedynczego logowania (SSO). .

Pełna wiadomość od Dash do klientów znajduje się poniżej:

„Dobry wieczór,

Podążamy za naszą wcześniejszą komunikacją z dnia 10 kwietnia 2024 r. dotyczącą raportów, że niektóre informacje Sisense mogą być dostępne na serwerze z ograniczonym dostępem. Jak już wspomnieliśmy, traktujemy tę sprawę poważnie i nasze dochodzenie jest w toku.

Nasi klienci muszą zresetować wszelkie klucze, tokeny i inne dane uwierzytelniające w swoim środowisku używanym w aplikacji Sisense.

W szczególności musisz:
– Zmień swoje hasło: Zmień wszystkie hasła związane z Sisense na http://my.sisense.com
– Inne niż pojedyncze logowanie:
— Zastąp klucz tajny w sekcji Zabezpieczenia konfiguracji podstawowej własnym identyfikatorem GUID/UUID.
– Zresetuj hasła dla wszystkich użytkowników w aplikacji Sysense.
– Wyloguj wszystkich użytkowników, uruchamiając GET /api/v1/authentication/logout_all w obszarze administratora.
– Pojedyncze logowanie (SSO):
– Jeśli używasz SSO JWT do uwierzytelniania użytkowników w Sisense, będziesz musiał zaktualizować sso.shared_secret w Sisense, a następnie użyć nowo utworzonej wartości po stronie obsługi SSO.
– Zdecydowanie zalecamy zmianę certyfikatu x.509 dla dostawcy tożsamości SSO SAML.
– Jeśli używasz OpenID, konieczna jest również zmiana sekretu klienta.
– Po tych modyfikacjach zaktualizuj ustawienia SSO w Sisense o zmienione wartości.
– Wyloguj wszystkich użytkowników, uruchamiając GET /api/v1/authentication/logout_all w obszarze administratora.
– Poświadczenia bazy danych klientów: Zresetuj w swojej bazie danych poświadczenia, które były używane w aplikacji Sisense, aby zapewnić ciągłość komunikacji między systemami.
– Formularze danych: zmień wszystkie nazwy użytkowników i hasła w ciągu połączenia z bazą danych w Formularzach danych.
– Parametry użytkownika: Jeśli korzystasz z funkcji Parametry użytkownika, zresetuj ją.
– Active Directory/LDAP: Zmień nazwę użytkownika i hasło użytkownika dla użytkowników, których autoryzacja jest używana do synchronizacji AD.
– Uwierzytelnianie HTTP dla GIT: Wdróż poświadczenia w każdym projekcie GIT.
– Klienci B2D: Użyj następującego wywołania API PATCH api/v2/b2d w sekcji Administracja, aby zaktualizować połączenie B2D.
– Aplikacje infuzyjne: obracaj powiązane klawisze.
– Token dostępu do sieci: obróć wszystkie tokeny.
– Dedykowany serwer e-mail: zarządzaj powiązanymi poświadczeniami.
– Kod niestandardowy: Zresetuj wszelkie sekrety pojawiające się w notatnikach za pomocą niestandardowego kodu.

READ  Sędzia federalny blokuje plan Białego Domu mający na celu ograniczenie opłat za zwłokę w obsłudze kart kredytowych

Jeśli potrzebujesz pomocy, prześlij zgłoszenie do obsługi klienta na stronie https://community.sisense.com/t5/support-portal/bd-p/SupportPortal i oznacz je jako krytyczne. Mamy wyspecjalizowany zespół reagowania, który jest w stanie gotowości, aby pomóc w realizacji Twoich żądań.

W Sisense przywiązujemy najwyższą wagę do bezpieczeństwa i zależy nam na sukcesie naszych klientów. Dziękujemy za partnerstwo i zaangażowanie na rzecz naszego wzajemnego bezpieczeństwa.

Jest rozważane,

Sangram Dash
Główny specjalista ds. bezpieczeństwa informacji

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *