Por que a CISA está alertando os CISOs sobre uma violação na Sisense – Krebs on Security

o Agência de Segurança Cibernética e de Infraestrutura dos EUA A CISA disse hoje que está investigando o hack da empresa de inteligência de negócios Sisense, cujos produtos são projetados para permitir que as empresas visualizem o status online de vários serviços de terceiros em um único painel. A CISA instou todos os clientes da Sisense a redefinir quaisquer credenciais e segredos que possam ter sido compartilhados com a empresa, que é o mesmo conselho que a Sisense deu aos seus clientes na noite de quarta-feira.

A Sisense, com sede na cidade de Nova York, tem mais de mil clientes em diversos setores industriais, incluindo serviços financeiros, telecomunicações, saúde e ensino superior. Em 10 de abril, Sangram Dash, diretor de segurança da informação da Sisense Ela disse aos clientes que a empresa está ciente de relatos de que “algumas informações corporativas da Sisense podem estar disponíveis no que nos disseram ser um servidor de acesso restrito (geralmente não disponível na Internet)”.

“Levamos este assunto muito a sério e iniciamos uma investigação imediatamente”, continuou Dash. “Contratamos especialistas líderes do setor para nos ajudar na investigação. Este assunto não resultou em uma interrupção em nossas operações comerciais. Por precaução e à medida que continuamos a investigar, pedimos que você substitua imediatamente quaisquer credenciais você usa em seu aplicativo Sisense.

A CISA afirmou no seu alerta que está a trabalhar com parceiros da indústria privada para responder ao recente compromisso descoberto por investigadores de segurança independentes envolvendo a Sisense.

“A CISA está a desempenhar um papel activo na colaboração com parceiros da indústria do sector privado para responder a este incidente, particularmente no que diz respeito às organizações afectadas do sector de infra-estruturas críticas”, dizia o alerta disperso. “Forneceremos atualizações à medida que mais informações estiverem disponíveis.”

Sisense se recusou a comentar quando questionado sobre a veracidade das informações compartilhadas por duas fontes confiáveis ​​com conhecimento íntimo da investigação da violação. Essas fontes disseram que a violação parece ter começado quando os invasores de alguma forma obtiveram acesso ao repositório de código Gitlab da empresa, e nesse repositório havia um token ou credenciais que permitiam que os bandidos acessassem os buckets Amazon S3 da Sisense na nuvem.

Os clientes podem usar o Gitlab como uma solução hospedada na nuvem em Gitlab.com ou como uma implantação autogerenciada. KrebsOnSecurity entende que Sisense estava usando a versão autogerenciada do Gitlab.

Ambas as fontes disseram que os invasores usaram o acesso S3 para copiar e filtrar vários terabytes de dados de clientes Sisense, que aparentemente incluíam milhões de tokens de acesso, senhas de contas de e-mail e até certificados SSL.

O incidente levanta questões sobre se a Sisense estava fazendo o suficiente para proteger os dados confidenciais que os clientes lhe confiaram, como se o enorme volume de dados de clientes roubados foi criptografado enquanto estava nos servidores em nuvem da Amazon.

No entanto, está claro que os invasores desconhecidos agora possuem todas as credenciais que os clientes da Sisense usaram em seus painéis.

O hack também mostra que o Sisense é um tanto limitado nas ações de limpeza que pode realizar em nome dos clientes, porque os tokens de acesso são essencialmente arquivos de texto no seu computador que permitem que você permaneça conectado por longos períodos de tempo – às vezes indefinidamente. Dependendo do serviço de que estamos falando, pode ser possível que os invasores reutilizem esses tokens de acesso para se autenticarem como vítimas sem precisar fornecer credenciais válidas.

Além disso, cabe em grande parte aos clientes da Sisense decidir se e quando alterar as senhas de vários serviços de terceiros que anteriormente confiaram à Sisense.

Hoje cedo, uma empresa de relações públicas que trabalha com Sisense entrou em contato para ver se KrebsOnSecurity planejava postar mais atualizações sobre o hack (KrebsOnSecurity postou uma captura de tela do e-mail do cliente CISO para ambos LinkedIn E Mastodonte Quarta à noite). O representante de relações públicas disse que Sisense queria ter certeza de que teria a oportunidade de comentar antes de publicar a história.

Mas quando Sisense foi confrontada com os detalhes partilhados pelas minhas fontes, ela parece ter mudado de ideias.

“Depois de consultar a Sisense, eles me disseram que não queriam responder”, disse o representante de relações públicas por e-mail.

Atualizado às 18h49 horário do leste dos EUA: Adicionado esclarecimento de que o Sisense usa uma versão auto-hospedada do Gitlab, não a versão em nuvem gerenciada pelo Gitlab.com.

Além disso, o CISO Dash da Sisense enviou uma atualização diretamente aos clientes. O conselho mais recente da empresa é muito mais detalhado e inclui a redefinição de um número potencialmente grande de tokens de acesso em várias tecnologias, incluindo credenciais do Microsoft Active Directory, credenciais GIT, tokens de acesso à Web e quaisquer segredos ou tokens de logon único (SSO). .

A mensagem completa do Dash para os clientes está abaixo:

“Boa noite,

Estamos acompanhando nossa comunicação anterior datada de 10 de abril de 2024, referente a relatos de que algumas informações do Sisense podem estar disponíveis em um servidor de acesso restrito. Conforme mencionado, levamos este assunto a sério e nossa investigação está em andamento.

Nossos clientes devem redefinir quaisquer chaves, tokens ou outras credenciais em seu ambiente usadas no aplicativo Sisense.

Especificamente, você deve:
– Altere sua senha: altere todas as senhas relacionadas ao Sisense em http://my.sisense.com
– Diferente do logon único:
– Substitua o segredo na seção Segurança da Configuração Básica pelo seu próprio GUID/UUID.
– Redefina as senhas de todos os usuários no aplicativo Sysense.
– Efetue logout de todos os usuários executando GET /api/v1/authentication/logout_all sob o usuário administrador.
– Logon único (SSO):
– Se você estiver usando SSO JWT para autenticação de usuário no Sisense, precisará atualizar sso.shared_secret no Sisense e, em seguida, usar o valor recém-criado no lado do manipulador SSO.
– É altamente recomendável alternar o certificado x.509 para seu provedor de identidade SSO SAML.
– Se você estiver usando OpenID, é necessário rotacionar o segredo do cliente também.
– Após essas modificações, atualize as configurações de SSO no Sisense com os valores revisados.
– Efetue logout de todos os usuários executando GET /api/v1/authentication/logout_all sob o usuário administrador.
– Credenciais do Banco de Dados de Clientes: Redefina as credenciais do seu banco de dados que foram utilizadas no aplicativo Sisense para garantir a continuidade da comunicação entre os sistemas.
– Formulários de dados: altere todos os nomes de usuário e senhas na cadeia de conexão do banco de dados em Formulários de dados.
– Parâmetros do usuário: se você estiver usando o recurso Parâmetros do usuário, redefina-o.
– Active Directory/LDAP: Altere o nome de usuário e a senha dos usuários cuja autorização é usada para sincronização do AD.
– Autenticação HTTP para GIT: implemente credenciais em cada projeto GIT.
– Clientes B2D: Utilize a seguinte chamada API PATCH api/v2/b2d na seção Administração para atualizar a conexão B2D.
– Aplicativos de infusão: gire as teclas associadas.
– Token de acesso à Web: gire todos os tokens.
– Servidor de e-mail dedicado: Gerencie as credenciais associadas.
– Código personalizado: redefina todos os segredos que aparecem nos notebooks com código personalizado.

Se precisar de ajuda, envie um ticket de suporte ao cliente em https://community.sisense.com/t5/support-portal/bd-p/SupportPortal e marque-o como crítico. Temos uma equipe de resposta dedicada de prontidão para atender às suas solicitações.

Na Sisense damos a maior importância à segurança e estamos comprometidos com o sucesso dos nossos clientes. Agradecemos sua parceria e compromisso com nossa segurança mútua.

É considerado,

Sangram Dash
Diretor de Segurança da Informação