El Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo hoy que está investigando una infracción en una empresa de inteligencia empresarial Sisense, cuyos productos están diseñados para permitir a las empresas ver el estado de múltiples servicios en línea de terceros en un único panel. CISA instó a todos los clientes de Sisense a restablecer todas las credenciales y secretos que puedan haber sido compartidos con la empresa, que es el mismo consejo que Sisense dio a sus clientes el miércoles por la noche.
Sisense, con sede en la ciudad de Nueva York, tiene más de mil clientes en una variedad de sectores verticales, incluidos servicios financieros, telecomunicaciones, atención médica y educación superior. El 10 de abril, Sangram Dash, director de seguridad de la información de Sisense dijo a los clientes que la empresa había tenido conocimiento de informes de que “cierta información de la empresa Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (que generalmente no está disponible en Internet)”.
“Estamos tomando este asunto en serio y comenzamos rápidamente una investigación”, continuó Dash. “Contratamos a expertos líderes de la industria para que nos ayudaran con la investigación. Este asunto no ha resultado en una interrupción de nuestras operaciones comerciales. “Por precaución, y mientras continuamos investigando, le instamos a rotar rápidamente cualquier credencial que utilice dentro de su aplicación Sisense”.
En su alerta, CISA dijo que estaba trabajando con socios de la industria privada para responder a un compromiso reciente descubierto por investigadores de seguridad independientes que involucraban a Sisense.
“CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas”, se lee en la escasa alerta. “Proporcionaremos actualizaciones a medida que haya más información disponible”.
Sisense se negó a hacer comentarios cuando se le preguntó sobre la veracidad de la información compartida por dos fuentes confiables con conocimiento cercano de la investigación de la violación. Esas fuentes dijeron que la violación parece haber comenzado cuando los atacantes de alguna manera obtuvieron acceso al repositorio de código Gitlab de la compañía, y en ese repositorio había un token o credencial que les dio a los malos acceso a los depósitos Amazon S3 de Sisense en la nube.
Los clientes pueden utilizar Gitlab como una solución alojada en la nube en Gitlab.com o como una implementación autoadministrada. KrebsOnSecurity entiende que Sisense estaba usando la versión autoadministrada de Gitlab.
Ambas fuentes dijeron que los atacantes utilizaron el acceso a S3 para copiar y exfiltrar varios terabytes de datos de clientes de Sisense, que aparentemente incluían millones de tokens de acceso, contraseñas de cuentas de correo electrónico e incluso certificados SSL.
El incidente plantea dudas sobre si Sisense estaba haciendo lo suficiente para proteger los datos confidenciales que le confiaron los clientes, como por ejemplo si el enorme volumen de datos robados de los clientes alguna vez fue cifrado mientras estaba en reposo en estos servidores en la nube de Amazon.
Sin embargo, está claro que los atacantes desconocidos ahora tienen todas las credenciales que los clientes de Sisense utilizaron en sus paneles.
La infracción también deja en claro que Sisense está algo limitado en las acciones de limpieza que puede tomar en nombre de los clientes, porque los tokens de acceso son esencialmente archivos de texto en su computadora que le permiten permanecer conectado durante períodos prolongados de tiempo, a veces de forma indefinida. . Y dependiendo de qué servicio estemos hablando, es posible que los atacantes reutilicen esos tokens de acceso para autenticarse como víctima sin tener que presentar credenciales válidas.
Más allá de eso, depende en gran medida de los clientes de Sisense decidir si cambian las contraseñas de los diversos servicios de terceros que previamente han confiado a Sisense y cuándo.
Hoy temprano, una firma de relaciones públicas que trabaja con Sisense se acercó para saber si KrebsOnSecurity planeaba publicar más actualizaciones sobre su violación (KrebsOnSecurity publicó una captura de pantalla del correo electrónico del cliente del CISO tanto en LinkedIn como en Mastodon el miércoles por la noche). El representante de relaciones públicas dijo que Sisense quería asegurarse de que tuvieran la oportunidad de comentar antes de que se publicara la historia.
Pero cuando se enfrentó a los detalles compartidos por mis fuentes, Sisense aparentemente cambió de opinión.
“Después de consultar con Sisense, me dijeron que no desean responder”, dijo el representante de relaciones públicas en una respuesta enviada por correo electrónico.
Actualización, 6:49 pm, ET: Se agregó una aclaración de que Sisense está utilizando una versión autohospedada de Gitlab, no la versión en la nube administrada por Gitlab.com.
Además, CISO Dash de Sisense acaba de enviar una actualización directamente a los clientes. El último consejo de la compañía es mucho más detallado e implica restablecer una cantidad potencialmente grande de tokens de acceso en múltiples tecnologías, incluidas las credenciales de Microsoft Active Directory, las credenciales GIT, los tokens de acceso web y cualquier secreto o token de inicio de sesión único (SSO). .
El mensaje completo de Dash para los clientes se encuentra a continuación:
“Buenas tardes,
Estamos dando seguimiento a nuestra comunicación anterior del 10 de abril de 2024, con respecto a los informes de que cierta información de la empresa Sisense puede haber estado disponible en un servidor de acceso restringido. Como se señaló, nos estamos tomando este asunto en serio y nuestra investigación continúa.
Nuestros clientes deben restablecer cualquier clave, token u otra credencial en su entorno utilizada dentro de la aplicación Sisense.
Específicamente, deberías:
– Cambie su contraseña: cambie todas las contraseñas relacionadas con Sisense en http://my.sisense.com
– Sin SSO:
– Reemplace el Secreto en la sección Seguridad de la configuración base con su GUID/UUID.
– Restablecer contraseñas para todos los usuarios en la aplicación Sisense.
– Cierre la sesión de todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador.
– Inicio de sesión único (SSO):
– Si usa SSO JWT para la autenticación del usuario en Sisense, deberá actualizar sso.shared_secret en Sisense y luego usar el valor recién generado en el lado del controlador de SSO.
– Recomendamos encarecidamente rotar el certificado x.509 de su proveedor de identidad SSO SAML.
– Si utiliza OpenID, también es imperativo rotar el secreto del cliente.
– Después de estos ajustes, actualice la configuración de SSO en Sisense con los valores revisados.
– Cierre la sesión de todos los usuarios ejecutando GET /api/v1/authentication/logout_all en Usuario administrador.
– Credenciales de la base de datos del cliente: restablezca las credenciales en su base de datos que se utilizaron en la aplicación Sisense para garantizar la continuidad de la conexión entre los sistemas.
– Modelos de datos: cambie todos los nombres de usuario y contraseñas en la cadena de conexión de la base de datos en los modelos de datos.
– Parámetros de usuario: si está utilizando la función Parámetros de usuario, restablezcalos.
– Active Directory/LDAP: cambie el nombre de usuario y la contraseña de usuario de los usuarios cuya autorización se utiliza para la sincronización de AD.
– Autenticación HTTP para GIT: rote las credenciales en cada proyecto GIT.
– Clientes B2D: utilice el siguiente API PATCH api/v2/b2d-connection en la sección de administración para actualizar la conexión B2D.
– Aplicaciones de infusión: gire las teclas asociadas.
– Token de acceso web: rotar todos los tokens.
– Servidor de correo electrónico personalizado: rote las credenciales asociadas.
– Código personalizado: restablece los secretos que aparecen en los cuadernos con códigos personalizados.
Si necesita ayuda, envíe un ticket de atención al cliente en https://community.sisense.com/t5/support-portal/bd-p/SupportPortal y márquelo como crítico. Contamos con un equipo de respuesta dedicado en espera para ayudarlo con sus solicitudes.
En Sisense damos suma importancia a la seguridad y estamos comprometidos con el éxito de nuestros clientes. Gracias por su colaboración y compromiso con nuestra seguridad mutua.
Saludos,
Sangram Dash
Director de Seguridad de la Información”
