Une vague d’attaques visant des entreprises utilisatrices de solutions cloud met en lumière les risques liés aux intégrations SaaS. En exploitant des jetons d’authentification compromis, les assaillants ont notamment ciblé des environnements liés à Snowflake, sans exploiter de faille directe des systèmes.
Une douzaine d’attaques et de vols de données ont impacté plusieurs entreprises utilisant des solutions cloud, ce qui a mis la puce à l’oreille. Toutes ces attaques avaient un point commun : exploiter des jetons d’authentification compromis à la suite de la faille d’un intégrateur SaaS tiers.
« Les intégrations tierces introduisent un risque aggravant. Elles se voient fréquemment accorder un accès persistant et hautement fiable pour permettre l’automatisation et l’échange de données, mais ce même accès peut considérablement élargir la portée de l’attaque s’il est compromis », a expliqué Keeper Security dans un communiqué. Un cas qui, selon l’entreprise, met en évidence un problème récurrent dans les environnements SaaS : une grande importance est accordée à la sécurité de la connexion, mais moins à ce qui se passe une fois l’accès accordé. L’entreprise encourage à systématiser le principe du moindre privilège, à réduire la durée de vie des jetons, à renouveler en permanence les identifiants et à identifier les interactions entre les intégrations et les données sensibles.
ShinyHunters aux manettes ?
La majorité des incidents visaient la plateforme de données cloud de Snowflake, d’après le média spécialisé BleepingComputer. Si de nombreux fournisseurs de stockage cloud et de SaaS ont été ciblés à l’aide de ces jetons volés, BleepingComputer a appris que la majorité des attaques visaient la plateforme de données cloud Snowflake. Contactée par le média, l’entreprise a confirmé une « activité inhabituelle ».
« Nous avons immédiatement lancé une enquête et, par mesure de précaution, bloqué les comptes clients potentiellement affectés. Nous avons également informé les clients concernés et fourni des recommandations préventives pour les aider à mieux protéger leurs comptes », a précisé l’entreprise, qui a ajouté que les attaques n’impliquaient ni vulnérabilité ni compromission de ses systèmes.
Toujours selon BleepingComputer, les jetons provenaient de la société de détection d’anomalies et d’analyse de données Anodot. Dès que l'équipe de sécurité de Snowflake a détecté une activité inhabituelle, elle a par mesure de précaution, désactivé tous les comptes d'utilisateurs faisant référence à « anodot » afin qu'ils ne puissent plus se connecter à Snowflake. Lundi, Anodot indiquait encore rencontrer des difficultés pour collecter des données, détecter et envoyer des alertes d’anomalies. Depuis les révélations sur les attaques, plusieurs entreprises ont déclaré avoir été victimes de tentatives d’extorsion de la part du célèbre groupe ShinyHunters, qui a revendiqué l’attaque.
