ИБ-вендоры пострадали от кибератаки на цепочку поставок

Сразу несколько производителей систем кибербезопасности стали жертвами кибератаки на цепочку поставок. Кибератака затронула компании Palo Alto Networks, Cloudflare, Zscaler и ряд других.

Американская компания Palo Alto Networks, один из лидеров в области разработки межсетевых экранов и решений в сфере облачной безопасности, сообщила об утечке данных после того, как злоумышленники использовали украденные токены OAuth из облачного приложения Salesloft Drift, использующееся для интеграции чат-бота с системой на платформе Salesforce. В результате хакеры получили доступ к данным клиентов Palo Alto из ее CRM-системы.

«В ходе расследования подтверждено, что инцидент был ограничен CRM; ни один из продуктов или сервисов Palo Alto Networks не пострадал, и они остаются безопасными и полностью работоспособными. В число затронутых данных входят в основном контактная информация компании, данные внутренних отделов продаж и основные данные о сделках, связанных с нашими клиентами», — говорится в заявлении Palo Alto.

Исследователи подразделения Unit42, расследующие атаку на цепочку поставок, отметили, что злоумышленники массово скачивали данные Salesforce (счета, контакты, сделки и т.д.), сканировали их на предмет наличия учетных данных (вероятно, с целью расширения доступа или использования паролей в новых атаках), после чего использовали специальные средства для того, чтобы скрыть следы совершенных действий.

Компания Salesloft подтвердила, что все пострадавшие клиенты были уведомлены об инциденте, а ее специалисты немедленно предприняли меры для защиты своих систем, локализации и минимизации последствий инцидента, включая заблаговременный отзыв всех активных токенов доступа и обновления для приложения Drift, что потребовало повторной аутентификации для затронутых атакой администраторов.

В ответ на инцидент безопасности компания оперативно заменила все учетные данные, выявленные в украденной информации. Это касается ключей API Salesforce, учётных данных подключенных приложений и любых других системных учетных данных, обнаруженных в скомпрометированных сведениях.

В начале сентября другая американская компания Zscaler (специализируется на решениях по безопасности облачных вычислений) сообщила об утечке данных, связанной с недавней атакой на Salesloft Drift. Как и в случае с Palo Alto, благодаря полученным токенам OAuth злоумышленники получили несанкционированный доступ к учетным данным Drift, после чего добрались до некоторых данных CRM-системы Salesforce, которую использует компания Zscaler.

Информация, утекшая в ходе этого инцидента, включает контактные данные клиентов и контент, связанный с CRM-системой Salesforce, включая: имена, адреса электронной почты, должности, номера телефонов, регион/местоположение, лицензионную и коммерческие сведения о продуктах Zscaler, а также детали некоторых обращений в службу поддержки.

Zscaler подтвердила, что отозвала доступ Drift к Salesforce, провела ротацию токенов API, начала совместное расследование с Salesforce, добавила меры безопасности, проверила сторонних поставщиков и усилила аутентификацию клиентов службы поддержки для снижения риска фишинговых атак.

Список из сотен компаний, ставших жертвами атак на пользователей платформы Salesforce, пополнил вендор Cloudflare, разработчик сервисов защиты от DDoS-атак, а также услуг CDN и серверов DNS. Согласно записи в блоге компании, в результате взлома Salesloft Drift хакеры получили доступ к экземпляру системы Salesforce, которая служит для поддержки клиентов и управления их обращениями.

Хотя злоумышленникам удалось похитить такие данные, как имена, электронные адреса, наименования должностей и сведения о местоположении, их, по-видимому, больше интересовали данные, которые можно было бы использовать для компрометации инфраструктуры жертв: ключи доступа AWS, пароли, учетные данные Snowflake, ключи VPN и т. д., полагают специалисты Cloudflare. Как и другие пострадавшие организации, Cloudflare считает, что украденная информация будет использована злоумышленниками для проведения дополнительных целевых атак.

В число компаний, занимающихся информационной безопасностью и подтвердивших, что они пострадали от взлома Salesloft Drift, также входят Proofpoint и Rubrik.