Et nyligt Grafana-brud blev koblet til manglende tokenrotation efter det tidligere supply chain-angreb mod TanStack. Grafana bekræftede, at angribere genvandt adgang til interne systemer, fordi én kompromitteret autentificeringstoken stadig var aktiv efter den oprindelige hændelseshåndtering.
Hændelsen fremhæver de voksende risici omkring tokenhåndtering og sikkerheden omkring cloudbaserede legitimationsoplysninger. Forskere advarer om, at angribere i stigende grad bruger stjålne maskinlegitimationsoplysninger til at opretholde langvarig adgang efter supply chain-kompromitteringer.
Grafana bekræftede manglende tokenrotation
Grafana oplyste, at bruddet opstod, fordi én adgangstoken forbundet til TanStack-kompromitteringen ikke blev roteret korrekt under oprydningsarbejdet.
Ifølge virksomheden brugte angribere senere den oversete legitimationsoplysning til at få adgang til interne ressourcer. Grafana oplyste, at indtrængningen kun påvirkede en begrænset del af infrastrukturen, og at der foreløbig ikke findes tegn på direkte kompromittering af kundernes Grafana Cloud-miljøer.
Virksomheden forklarede også, at hændelsen blev identificeret og stoppet efter registrering af mistænkelig aktivitet knyttet til den eksponerede token.
Hændelsen startede med TanStack-angrebet
Grafana-bruddet kan spores tilbage til det tidligere supply chain-angreb mod TanStack, som påvirkede flere organisationer i udviklerøkosystemet.
Under den oprindelige hændelse kompromitterede angribere angiveligt pakker tilknyttet TanStack-miljøet og brugte ondsindet kode til at stjæle legitimationsoplysninger, autentificeringstokens og følsomme udviklerhemmeligheder.
Sikkerhedsforskere advarede allerede dengang om, at flere sekundære ofre kunne dukke op senere, hvis eksponerede legitimationsoplysninger forblev aktive i kompromitterede miljøer.
Grafana-hændelsen ser nu ud til at være et af disse sekundære brud.
Derfor er tokenrotation vigtig
Sikkerhedseksperter siger, at manglende tokenrotation fortsat er en stor svaghed under hændelseshåndtering. Organisationer fokuserer ofte kraftigt på at fjerne malware og blokere den oprindelige adgang, mens maskinlegitimationsoplysninger, som angribere stadig kontrollerer, bliver overset.
Moderne cloudinfrastruktur er stærkt afhængig af servicekonti, automatiseringstokens, CI/CD-hemmeligheder og API-legitimationsoplysninger. Én glemt token kan give angribere mulighed for stille at vende tilbage til systemerne længe efter, at forsvarsteams mener, hændelsen er løst.
Forskere advarer om, at cloudmiljøer markant har øget antallet af aktive legitimationsoplysninger, som organisationer konstant skal overvåge og beskytte.
Supply chain-angreb fortsætter med at vokse
Grafana-bruddet viser, hvordan softwarebaserede supply chain-angreb kan skabe langvarige sekundære risici på tværs af teknologisektoren.
Angribere retter sig i stigende grad mod udviklingsmiljøer, pakkeregistre, CI/CD-pipelines og cloudinfrastruktur, fordi disse systemer ofte giver indirekte adgang til mange organisationer samtidig.
Sikkerhedsforskere opfordrer fortsat virksomheder til at styrke håndteringen af legitimationsoplysninger og forbedre synligheden omkring maskinautentificering.
Anbefalede sikkerhedstiltag inkluderer:
- Rotér alle eksponerede legitimationsoplysninger straks
- Gennemgå aktive tokens regelmæssigt
- Begræns tokenrettigheder, hvor det er muligt
- Overvåg mistænkelig autentificeringsaktivitet
- Brug kortere udløbstider for tokens
- Gennemgå tredjepartsafhængigheder løbende
- Oprethold komplette oversigter over aktive maskinlegitimationsoplysninger
Organisationer bør også automatisere tilbagekaldelse af legitimationsoplysninger for at reducere risikoen for oversete tokens efter sikkerhedshændelser.
Sikkerheden omkring legitimationsoplysninger bliver vigtigere
Maskinlegitimationsoplysninger spiller nu en central rolle i moderne infrastrukturer. Cloudtjenester, automatiseringsplatforme, deploymentsystemer og udviklerworkflows er stærkt afhængige af tokens og API-autentificering.
Forskere advarer om, at angribere i stigende grad prioriterer tyveri af legitimationsoplysninger, fordi stjålne tokens kan give vedvarende adgang uden at udløse traditionelle malware-detekteringssystemer.
Efterhånden som supply chain-angreb bliver mere sofistikerede, stiger presset på organisationer for at forbedre håndteringen af legitimationsoplysningers livscyklus og overvågningen af infrastrukturen.
Konklusion
Grafana-bruddet viser, hvordan én enkelt manglende tokenrotation kan forlænge konsekvenserne af et stort supply chain-angreb. Angribere genvandt angiveligt adgang, efter at én kompromitteret legitimationsoplysning forblev aktiv efter den tidligere TanStack-hændelse.
Sikkerhedseksperter advarer om, at organisationer skal styrke tokenhåndtering, synlighed omkring legitimationsoplysninger og hændelseshåndtering, efterhånden som cloudinfrastruktur og supply chain-angreb fortsætter med at udvikle sig.
0 svar til “Grafana-brud kobles til manglende tokenrotation”