IL Agenzia statunitense per la sicurezza informatica e le infrastrutture La CISA ha dichiarato oggi che sta indagando sull'hacking della società di business intelligence Sei sensi, i cui prodotti sono progettati per consentire alle aziende di visualizzare lo stato online di più servizi di terze parti in un'unica dashboard. CISA ha esortato tutti i clienti Sisense a reimpostare tutte le credenziali e i segreti che potrebbero essere stati condivisi con l'azienda, che è lo stesso consiglio che Sisense ha dato ai suoi clienti mercoledì sera.
Sisense, con sede a New York City, ha più di mille clienti in una vasta gamma di settori industriali, tra cui servizi finanziari, telecomunicazioni, sanità e istruzione superiore. Il 10 aprile, Sangram Dash, responsabile della sicurezza informatica presso Sisense Ha detto ai clienti che la società è a conoscenza di segnalazioni secondo cui “alcune informazioni aziendali di Sisense potrebbero essere disponibili su quello che ci è stato detto essere un server ad accesso limitato (non generalmente disponibile su Internet)”.
“Prendiamo la questione molto sul serio e abbiamo avviato immediatamente un'indagine”, ha continuato Dash. “Abbiamo incaricato esperti leader del settore di assisterci nelle indagini. Questa questione non ha comportato un'interruzione delle nostre operazioni commerciali. Per estrema cautela e mentre continuiamo a indagare, vi esortiamo a sostituire immediatamente qualsiasi credenziale usi nella tua app Sisense.
La CISA ha affermato nella sua allerta che sta lavorando con partner del settore privato per rispondere al recente compromesso scoperto da ricercatori indipendenti sulla sicurezza che coinvolgono Sisense.
“La CISA sta svolgendo un ruolo attivo nella collaborazione con i partner del settore privato per rispondere a questo incidente, in particolare per quanto riguarda le organizzazioni del settore delle infrastrutture critiche colpite”, si legge nell'avviso sparso. “Forniremo aggiornamenti non appena saranno disponibili ulteriori informazioni.”
Sisense ha rifiutato di commentare quando gli è stato chiesto della veridicità delle informazioni condivise da due fonti affidabili con una conoscenza approfondita dell'indagine sulla violazione. Queste fonti affermano che la violazione sembra essere iniziata quando gli aggressori in qualche modo hanno ottenuto l'accesso al repository di codici Gitlab dell'azienda, e in quel repository c'erano un token o credenziali che davano ai malintenzionati l'accesso ai bucket Amazon S3 di Sisense nel cloud.
I clienti possono utilizzare Gitlab come soluzione ospitata nel cloud su Gitlab.com o come distribuzione autogestita. KrebsOnSecurity comprende che Sisense stava utilizzando la versione autogestita di Gitlab.
Entrambe le fonti hanno affermato che gli aggressori hanno utilizzato l'accesso S3 per copiare e filtrare diversi terabyte di dati dei clienti Sisense, che apparentemente includevano milioni di token di accesso, password di account di posta elettronica e persino certificati SSL.
L'incidente solleva dubbi sul fatto che Sisense stesse facendo abbastanza per proteggere i dati sensibili che i clienti gli avevano affidato, ad esempio se l'enorme volume di dati dei clienti rubati fosse stato crittografato mentre si trovava nei server cloud di Amazon.
Tuttavia, è chiaro che gli aggressori sconosciuti ora dispongono di tutte le credenziali che i clienti Sisense utilizzavano nelle loro dashboard.
L'hacking mostra anche che Sisense è in qualche modo limitato nelle azioni di pulizia che può intraprendere per conto dei clienti, perché i token di accesso sono essenzialmente file di testo sul tuo computer che ti consentono di rimanere connesso per lunghi periodi di tempo, a volte indefinitamente. A seconda del servizio di cui stiamo parlando, gli aggressori potrebbero riutilizzare questi token di accesso per autenticarsi come vittima senza dover fornire credenziali valide.
Oltre a ciò, spetta in gran parte ai clienti Sisense decidere se e quando modificare le password per i vari servizi di terze parti precedentemente affidati a Sisense.
Oggi, una società di pubbliche relazioni che lavora con Sisense ha contattato per vedere se KrebsOnSecurity intendeva pubblicare ulteriori aggiornamenti sull'hacking (KrebsOnSecurity ha pubblicato uno screenshot dell'e-mail del cliente CISO a entrambi LinkedIn E Mastodonte Mercoledì sera). Il rappresentante delle pubbliche relazioni ha detto che Sisense voleva assicurarsi che avessero l'opportunità di commentare prima di pubblicare la storia.
Ma quando Sisense si è confrontata con i dettagli condivisi dalle mie fonti, sembra aver cambiato idea.
“Dopo essersi consultati con Sisense, mi hanno detto che non volevano rispondere”, ha detto il rappresentante delle pubbliche relazioni in una risposta via email.
Aggiornato alle 18:49 ET: Aggiunto chiarimento che Sisense utilizza una versione self-hosted di Gitlab, non la versione cloud gestita da Gitlab.com.
Inoltre, il CISO Dash di Sisense ha inviato un aggiornamento direttamente ai clienti. Gli ultimi consigli dell'azienda sono molto più dettagliati e includono la reimpostazione di un numero potenzialmente elevato di token di accesso su più tecnologie, comprese le credenziali di Microsoft Active Directory, le credenziali GIT, i token di accesso Web e qualsiasi segreto o token Single Sign-On (SSO). .
Il messaggio completo di Dash ai clienti è riportato di seguito:
“Buonasera,
Stiamo dando seguito alla nostra precedente comunicazione datata 10 aprile 2024, riguardante le segnalazioni secondo cui alcune informazioni Sisense potrebbero essere disponibili su un server ad accesso limitato. Come accennato, prendiamo sul serio la questione e la nostra indagine è in corso.
I nostri clienti devono reimpostare eventuali chiavi, token o altre credenziali nel loro ambiente utilizzato all'interno dell'applicazione Sisense.
Nello specifico devi:
– Cambia la tua password: cambia tutte le password relative a Sisense su http://my.sisense.com
– Diversi dal Single Sign-On:
– Sostituisci il segreto nella sezione Sicurezza della configurazione di base con il tuo GUID/UUID.
– Reimposta le password per tutti gli utenti nell'applicazione Sysense.
– Disconnettere tutti gli utenti eseguendo GET /api/v1/authentication/logout_all sotto l'utente amministratore.
– Accesso singolo (SSO):
– Se utilizzi SSO JWT per l'autenticazione utente in Sisense, dovrai aggiornare sso.shared_secret in Sisense e quindi utilizzare il valore appena creato sul lato del gestore SSO.
– Ti consigliamo vivamente di ruotare il certificato x.509 per il tuo provider di identità SAML SSO.
– Se si utilizza OpenID, è necessario ruotare anche il segreto client.
– Dopo queste modifiche, aggiorna le impostazioni SSO in Sisense con i valori rivisti.
– Disconnettere tutti gli utenti eseguendo GET /api/v1/authentication/logout_all sotto l'utente amministratore.
– Credenziali del database dei clienti: reimposta le credenziali nel database utilizzate nell'applicazione Sisense per garantire la continuità della comunicazione tra i sistemi.
– Moduli dati: modifica tutti i nomi utente e le password nella stringa di connessione al database in Moduli dati.
– Parametri utente: se si utilizza la funzione Parametri utente, reimpostarla.
– Active Directory/LDAP: modificare il nome utente e la password utente per gli utenti la cui autorizzazione viene utilizzata per la sincronizzazione AD.
– Autenticazione HTTP per GIT: distribuisci le credenziali in ogni progetto GIT.
– Client B2D: utilizzare la seguente chiamata API PATCH api/v2/b2d nella sezione Amministrazione per aggiornare la connessione B2D.
– App per infusione: ruotare i tasti associati.
– Token di accesso Web: ruota tutti i token.
– Server di posta elettronica dedicato: gestisci le credenziali associate.
– Codice personalizzato: ripristina tutti i segreti visualizzati nei taccuini con codice personalizzato.
Se hai bisogno di assistenza, invia un ticket di assistenza clienti all'indirizzo https://community.sisense.com/t5/support-portal/bd-p/SupportPortal e contrassegnalo come critico. Abbiamo un team di risposta dedicato in attesa di assistere con le tue richieste.
Noi di Sisense attribuiamo la massima importanza alla sicurezza e ci impegniamo per il successo dei nostri clienti. Vi ringraziamo per la vostra collaborazione e il vostro impegno per la nostra reciproca sicurezza.
È considerato,
Sangram Dash
Responsabile della sicurezza delle informazioni
