Mengapa CISA memperingatkan CISO tentang pelanggaran di Sisense – Krebs tentang Keamanan

itu Badan Keamanan Siber dan Infrastruktur AS CISA mengatakan hari ini pihaknya sedang menyelidiki peretasan perusahaan intelijen bisnis masuk akal, yang produknya dirancang untuk memungkinkan bisnis melihat status online beberapa layanan pihak ketiga dalam satu dasbor. CISA mendesak semua pelanggan Sisense untuk mengatur ulang kredensial dan rahasia apa pun yang mungkin telah dibagikan kepada perusahaan, yang merupakan saran yang sama yang diberikan Sisense kepada pelanggannya pada Rabu malam.

Sisense, yang berbasis di New York City, memiliki lebih dari seribu klien di berbagai sektor industri, termasuk jasa keuangan, telekomunikasi, perawatan kesehatan, dan pendidikan tinggi. Pada tanggal 10 April, Sangram Dash, Kepala Petugas Keamanan Informasi di Sisense Dia mengatakan kepada kliennya bahwa perusahaan mengetahui laporan bahwa “beberapa informasi perusahaan Sisense mungkin tersedia pada server dengan akses terbatas (umumnya tidak tersedia di Internet).”

“Kami menangani masalah ini dengan sangat serius dan segera memulai penyelidikan,” lanjut Dash. “Kami telah melibatkan pakar industri terkemuka untuk membantu kami dalam penyelidikan. Masalah ini tidak mengakibatkan gangguan terhadap operasi bisnis kami. Karena sangat berhati-hati, dan saat kami terus melakukan penyelidikan, kami mendesak Anda untuk segera mengganti kredensial apa pun Anda gunakan dalam aplikasi Sisense Anda.

CISA mengatakan dalam peringatannya bahwa pihaknya bekerja sama dengan mitra industri swasta untuk menanggapi kompromi baru-baru ini yang ditemukan oleh peneliti keamanan independen yang melibatkan Sisense.

“CISA memainkan peran aktif dalam berkolaborasi dengan mitra industri sektor swasta untuk menanggapi insiden ini, khususnya yang berkaitan dengan organisasi sektor infrastruktur penting yang terkena dampak,” bunyi peringatan yang tersebar. “Kami akan memberikan pembaruan saat informasi lebih lanjut tersedia.”

Sisense menolak berkomentar ketika ditanya tentang kebenaran informasi yang dibagikan oleh dua sumber terpercaya yang memiliki pengetahuan mendalam tentang penyelidikan pelanggaran. Sumber-sumber ini mengatakan bahwa pelanggaran tampaknya dimulai ketika penyerang entah bagaimana memperoleh akses ke repositori kode Gitlab perusahaan, dan di dalam repositori itu terdapat token atau kredensial yang memungkinkan penjahat mengakses bucket Amazon S3 Sisense di cloud.

Pelanggan dapat menggunakan Gitlab sebagai solusi yang dihosting di cloud di Gitlab.com, atau sebagai penerapan yang dikelola sendiri. KrebsOnSecurity memahami bahwa Sisense menggunakan versi Gitlab yang dikelola sendiri.

Kedua sumber mengatakan penyerang menggunakan akses S3 untuk menyalin dan memfilter beberapa terabyte data pelanggan Sisense, yang tampaknya mencakup jutaan token akses, kata sandi akun email, dan bahkan sertifikat SSL.

Insiden ini menimbulkan pertanyaan tentang apakah Sisense telah berbuat cukup untuk melindungi data sensitif yang dipercayakan pelanggan, seperti apakah sejumlah besar data pelanggan yang dicuri dienkripsi saat berada di server cloud Amazon.

Namun, jelas bahwa penyerang tak dikenal kini memiliki semua kredensial yang digunakan pelanggan Sisense di dasbor mereka.

Peretasan tersebut juga menunjukkan bahwa Sisense agak terbatas dalam tindakan pembersihan yang dapat dilakukan atas nama pelanggan, karena token akses pada dasarnya adalah file teks di komputer Anda yang memungkinkan Anda untuk tetap masuk dalam jangka waktu yang lama — terkadang tanpa batas waktu. Bergantung pada layanan mana yang sedang kita bicarakan, penyerang mungkin dapat menggunakan kembali token akses ini untuk mengautentikasi sebagai korban tanpa harus memberikan kredensial yang valid.

Selain itu, sebagian besar terserah kepada pelanggan Sisense untuk memutuskan apakah dan kapan harus mengubah kata sandi untuk berbagai layanan pihak ketiga yang sebelumnya mereka percayakan kepada Sisense.

Sebelumnya hari ini, sebuah perusahaan PR yang bekerja dengan Sisense menghubungi untuk mengetahui apakah KrebsOnSecurity berencana memposting pembaruan lebih lanjut mengenai peretasan tersebut (KrebsOnSecurity memposting tangkapan layar email klien CISO ke keduanya LinkedIn Dan mastodon Rabu malam). Perwakilan humas mengatakan Sisense ingin memastikan mereka mempunyai kesempatan untuk berkomentar sebelum menerbitkan cerita tersebut.

Namun ketika Sisense dihadapkan dengan rincian yang dibagikan oleh sumber saya, dia tampaknya berubah pikiran.

“Setelah berkonsultasi dengan Sisense, mereka mengatakan kepada saya bahwa mereka tidak ingin menanggapinya,” kata perwakilan PR dalam tanggapan email.

Diperbarui pada 18:49 ET: Menambahkan klarifikasi bahwa Sisense menggunakan versi Gitlab yang dihosting sendiri, bukan versi cloud yang dikelola oleh Gitlab.com.

Selain itu, CISO Dash Sisense mengirimkan pembaruan kepada pelanggan secara langsung. Saran terbaru perusahaan jauh lebih rinci, dan mencakup pengaturan ulang sejumlah besar token akses yang berpotensi besar di berbagai teknologi, termasuk kredensial Microsoft Active Directory, kredensial GIT, token akses web, dan rahasia atau token sistem masuk tunggal (SSO). .

Pesan lengkap dari Dash kepada pelanggan ada di bawah ini:

“Selamat malam,

Kami menindaklanjuti komunikasi kami sebelumnya tertanggal 10 April 2024, mengenai laporan bahwa beberapa informasi Sisense mungkin tersedia di server akses terbatas. Seperti yang disebutkan, kami menangani masalah ini dengan serius dan penyelidikan kami sedang berlangsung.

Pelanggan kami harus mengatur ulang kunci, token, atau kredensial lainnya di lingkungan mereka yang digunakan dalam aplikasi Sisense.

Secara khusus, Anda harus:
– Ubah kata sandi Anda: Ubah semua kata sandi terkait Sisense di http://my.sisense.com
– Selain sistem masuk tunggal:
– Ganti rahasia di bagian Keamanan Konfigurasi Dasar dengan GUID/UUID Anda sendiri.
– Reset kata sandi untuk semua pengguna di aplikasi Sysense.
– Logout semua pengguna dengan menjalankan GET /api/v1/authentication/logout_all di bawah pengguna admin.
– Sistem masuk tunggal (SSO):
– Jika Anda menggunakan SSO JWT untuk otentikasi pengguna di Sisense, Anda perlu memperbarui sso.shared_secret di Sisense dan kemudian menggunakan nilai yang baru dibuat di sisi pengendali SSO.
– Kami sangat menyarankan untuk merotasi sertifikat x.509 untuk penyedia identitas SSO SAML Anda.
– Jika Anda menggunakan OpenID, rahasia klien juga perlu dirotasi.
– Setelah modifikasi ini, perbarui pengaturan SSO di Sisense dengan nilai yang direvisi.
– Logout semua pengguna dengan menjalankan GET /api/v1/authentication/logout_all di bawah pengguna admin.
– Kredensial Basis Data Pelanggan: Reset kredensial di basis data Anda yang digunakan di aplikasi Sisense untuk memastikan kelangsungan komunikasi antar sistem.
– Formulir Data: Ubah semua nama pengguna dan kata sandi dalam string koneksi database di Formulir Data.
– Parameter Pengguna: Jika Anda menggunakan fitur Parameter Pengguna, atur ulang.
– Direktori Aktif/LDAP: Mengubah nama pengguna dan kata sandi pengguna untuk pengguna yang otorisasinya digunakan untuk sinkronisasi AD.
– Otentikasi HTTP untuk GIT: Meluncurkan kredensial di setiap proyek GIT.
– Klien B2D: Gunakan panggilan API PATCH api/v2/b2d berikut di bagian Administrasi untuk memperbarui koneksi B2D.
– Aplikasi Infus: Putar tombol terkait.
– Token Akses Web: Memutar semua token.
– Server email khusus: Kelola kredensial terkait.
– Kode Kustom: Reset semua rahasia yang muncul di buku catatan dengan kode khusus.

Jika Anda memerlukan bantuan apa pun, kirimkan tiket dukungan pelanggan di https://community.sisense.com/t5/support-portal/bd-p/SupportPortal dan tandai sebagai penting. Kami memiliki tim respons khusus yang siap membantu permintaan Anda.

Di Sisense, kami mengutamakan keamanan dan berkomitmen terhadap kesuksesan pelanggan kami. Kami berterima kasih atas kemitraan dan komitmen Anda terhadap keamanan bersama.

Hal ini dianggap,

Sangram Dash
Kepala Petugas Keamanan Informasi