Warum CISA CISOs vor einem Verstoß bei Sisense warnt – Krebs on Security

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit CISA gab heute bekannt, dass es den Hack des Business-Intelligence-Unternehmens untersucht Sisense, dessen Produkte es Unternehmen ermöglichen sollen, den Online-Status mehrerer Drittanbieterdienste in einem einzigen Dashboard anzuzeigen. CISA forderte alle Sisense-Kunden auf, alle Anmeldeinformationen und Geheimnisse zurückzusetzen, die möglicherweise mit dem Unternehmen geteilt wurden. Dies ist derselbe Rat, den Sisense seinen Kunden am Mittwochabend gegeben hat.

Sisense mit Sitz in New York City hat mehr als 1.000 Kunden aus verschiedenen Branchen, darunter Finanzdienstleistungen, Telekommunikation, Gesundheitswesen und Hochschulbildung. Am 10. April Sangram Dash, Chief Information Security Officer bei Sisense Sie teilte ihren Kunden mit, dass dem Unternehmen Berichte bekannt seien, dass „einige Sisense-Unternehmensinformationen möglicherweise auf einem Server mit eingeschränktem Zugriff verfügbar sein könnten (der im Internet nicht allgemein verfügbar ist).“

„Wir nehmen diese Angelegenheit sehr ernst und haben sofort eine Untersuchung eingeleitet“, fuhr Dash fort. „Wir haben branchenführende Experten beauftragt, uns bei der Untersuchung zu unterstützen. Aus Gründen der Vorsicht fordern wir Sie dringend auf, alle Ausweise unverzüglich zu ersetzen Sie verwenden es in Ihrer Sisense-App.

CISA sagte in seiner Warnung, dass es mit privaten Industriepartnern zusammenarbeitet, um auf die kürzlich von unabhängigen Sicherheitsforschern entdeckte Kompromittierung im Zusammenhang mit Sisense zu reagieren.

„CISA spielt eine aktive Rolle bei der Zusammenarbeit mit Industriepartnern aus dem privaten Sektor, um auf diesen Vorfall zu reagieren, insbesondere im Hinblick auf betroffene Organisationen im Bereich kritischer Infrastruktur“, heißt es in der vereinzelten Warnung. „Wir werden Aktualisierungen bereitstellen, sobald weitere Informationen verfügbar sind.“

Sisense lehnte eine Stellungnahme ab, als er nach der Richtigkeit der Informationen gefragt wurde, die von zwei zuverlässigen Quellen mit genauem Wissen über die Untersuchung des Verstoßes übermittelt wurden. Diesen Quellen zufolge begann der Verstoß offenbar, als die Angreifer sich irgendwie Zugang zum Code-Repository des Unternehmens in Gitlab verschafften und dieses Repository ein Token oder Anmeldeinformationen enthielt, die den Angreifern den Zugriff auf die Amazon S3-Buckets von Sisense in der Cloud ermöglichten.

Beiden Quellen zufolge nutzten die Angreifer den S3-Zugriff, um mehrere Terabyte an Sisense-Kundendaten zu kopieren und zu filtern, darunter offenbar Millionen von Zugriffstokens, E-Mail-Kontokennwörtern und sogar SSL-Zertifikaten.

Der Vorfall wirft die Frage auf, ob Sisense genug getan hat, um die sensiblen Daten der ihm anvertrauten Kunden zu schützen, etwa ob die riesige Menge an gestohlenen Kundendaten auf den Cloud-Servern von Amazon verschlüsselt wurde.

Es ist jedoch klar, dass die unbekannten Angreifer nun über alle Anmeldeinformationen verfügen, die Sisense-Kunden in ihren Dashboards verwendet haben.

Der Hack zeigt auch, dass Sisense bei den Bereinigungsmaßnahmen, die es im Namen der Kunden durchführen kann, etwas eingeschränkt ist, da Zugriffstoken im Wesentlichen Textdateien auf Ihrem Computer sind, die es Ihnen ermöglichen, über längere Zeiträume – manchmal auf unbestimmte Zeit – angemeldet zu bleiben. Je nachdem, um welchen Dienst es sich handelt, ist es für Angreifer möglicherweise möglich, diese Zugriffstokens erneut zu verwenden, um sich als Opfer zu authentifizieren, ohne gültige Anmeldeinformationen angeben zu müssen.

Darüber hinaus liegt es weitgehend bei Sisense-Kunden, zu entscheiden, ob und wann sie Passwörter für verschiedene Dienste von Drittanbietern ändern, die sie zuvor Sisense anvertraut haben.

Heute früh hat eine PR-Firma, die mit Sisense zusammenarbeitet, Kontakt aufgenommen, um zu erfahren, ob KrebsOnSecurity plant, weitere Updates zum Hack zu veröffentlichen (KrebsOnSecurity hat einen Screenshot der E-Mail des CISO-Kunden an beide gepostet). LinkedIn Und Mastodon Mittwochabend). Der PR-Vertreter sagte, Sisense wolle sicherstellen, dass sie vor der Veröffentlichung der Geschichte Gelegenheit zur Stellungnahme hätten.

Doch als Sisense mit den von meinen Quellen geteilten Details konfrontiert wurde, schien sie ihre Meinung geändert zu haben.

„Nach Rücksprache mit Sisense teilten sie mir mit, dass sie nicht antworten wollten“, sagte der PR-Vertreter in einer E-Mail-Antwort.

Nicholas Weaverein Forscher an der University of California, International Computer Science Institute (ICSI) in Berkeley und Dozent an der University of California, Davis, sagte, dass das Unternehmen, das mit vielen sensiblen Logins betraut ist, diese Informationen verschlüsseln sollte.

„Wenn sie Kundendaten auf einem Drittsystem wie Amazon hosten, ist es besser, sie zu verschlüsseln“, sagte Weaver. „Wenn sie die Leute auffordern, ihre Zugangsdaten zurückzusetzen, bedeutet das, dass sie nicht verschlüsselt wurden. Der zweite Fehler besteht darin, S3 ohne Verschlüsselung zu verwenden Letzteres ist angesichts seiner Taten unverzeihlich.

Aktualisiert um 18:49 Uhr ET: CISO Dash von Sisense hat gerade ein Update direkt an Kunden gesendet. Die neuesten Ratschläge des Unternehmens sind viel detaillierter und umfassen das Zurücksetzen einer potenziell großen Anzahl von Zugriffstokens über mehrere Technologien hinweg, darunter Microsoft Active Directory-Anmeldeinformationen, GIT-Anmeldeinformationen, Webzugriffstoken und alle Geheimnisse oder Token für Single Sign-On (SSO). .

Die vollständige Nachricht von Dash an die Kunden finden Sie unten:

„guten Abend,

Wir gehen unserer früheren Mitteilung vom 10. April 2024 nach, in der es um Berichte ging, dass einige Sisense-Informationen möglicherweise auf einem Server mit eingeschränktem Zugriff verfügbar sind. Wie bereits erwähnt, nehmen wir diese Angelegenheit ernst und unsere Untersuchung ist noch nicht abgeschlossen.

Unsere Kunden müssen alle Schlüssel, Token oder andere Anmeldeinformationen in ihrer Umgebung zurücksetzen, die innerhalb der Sisense-Anwendung verwendet werden.

Insbesondere müssen Sie:
– Ändern Sie Ihr Passwort: Ändern Sie alle Sisense-bezogenen Passwörter unter http://my.sisense.com
– Außer Single Sign-On:
– Ersetzen Sie das Geheimnis im Abschnitt „Grundlegende Konfigurationssicherheit“ durch Ihre eigene GUID/UUID.
– Passwörter für alle Benutzer in der Sysense-Anwendung zurücksetzen.
– Melden Sie alle Benutzer ab, indem Sie GET /api/v1/authentication/logout_all unter dem Admin-Benutzer ausführen.
– Single Sign-On (SSO):
– Wenn Sie SSO JWT für die Benutzerauthentifizierung in Sisense verwenden, müssen Sie sso.shared_secret in Sisense aktualisieren und dann den neu erstellten Wert auf der SSO-Handler-Seite verwenden.
– Wir empfehlen dringend, das x.509-Zertifikat für Ihren SSO-SAML-Identitätsanbieter zu rotieren.
– Wenn Sie OpenID verwenden, ist es notwendig, auch das Client-Geheimnis zu rotieren.
– Aktualisieren Sie nach diesen Änderungen die SSO-Einstellungen in Sisense mit den überarbeiteten Werten.
– Melden Sie alle Benutzer ab, indem Sie GET /api/v1/authentication/logout_all unter dem Admin-Benutzer ausführen.
– Kundendatenbank-Anmeldeinformationen: Setzen Sie Anmeldeinformationen in Ihrer Datenbank zurück, die in der Sisense-Anwendung verwendet wurden, um die Kontinuität der Kommunikation zwischen Systemen sicherzustellen.
– Data Forms: Ändern Sie alle Benutzernamen und Passwörter in der Datenbankverbindungszeichenfolge in Data Forms.
– Benutzerparameter: Wenn Sie die Benutzerparameterfunktion verwenden, setzen Sie sie zurück.
– Active Directory/LDAP: Ändern Sie den Benutzernamen und das Benutzerkennwort für Benutzer, deren Berechtigung für die AD-Synchronisierung verwendet wird.
– HTTP-Authentifizierung für GIT: Anmeldeinformationen in jedem GIT-Projekt bereitstellen.
– B2D-Clients: Verwenden Sie den folgenden API-PATCH-Aufruf api/v2/b2d im Abschnitt „Administration“, um die B2D-Verbindung zu aktualisieren.
– Infusion Apps: Zugehörige Tasten drehen.
– Webzugriffstoken: Alle Token rotieren.
– Dedizierter E-Mail-Server: Verwalten Sie die zugehörigen Anmeldeinformationen.
– Benutzerdefinierter Code: Setzen Sie alle Geheimnisse zurück, die in Notizbüchern mit benutzerdefiniertem Code angezeigt werden.

Wenn Sie Hilfe benötigen, reichen Sie bitte ein Kundensupport-Ticket unter https://community.sisense.com/t5/support-portal/bd-p/SupportPortal ein und markieren Sie es als kritisch. Wir verfügen über ein engagiertes Reaktionsteam, das Ihnen bei Ihren Anfragen behilflich ist.

Bei Sisense legen wir größten Wert auf Sicherheit und sind dem Erfolg unserer Kunden verpflichtet. Wir danken Ihnen für Ihre Partnerschaft und Ihr Engagement für unsere gegenseitige Sicherheit.

Es gilt als,

Sangram Dash
Chief Information Security Officer