Et nylig brudd hos Grafana ble knyttet til manglende tokenrotasjon etter det tidligere supply chain-angrepet mot TanStack. Grafana bekreftet at angripere fikk tilbake tilgang til interne systemer fordi én kompromittert autentiseringstoken fortsatt var aktiv etter den opprinnelige hendelseshåndteringen.

Hendelsen viser de voksende risikoene rundt tokenhåndtering og sikkerheten til skybaserte legitimasjonsopplysninger. Forskere advarer om at angripere i økende grad bruker stjålne maskinlegitimasjoner for å opprettholde langvarig tilgang etter supply chain-kompromitteringer.

Grafana bekreftet manglende tokenrotasjon

Grafana opplyste at bruddet oppstod fordi én tilgangstoken knyttet til TanStack-kompromitteringen ikke ble rotert korrekt under oppryddingsarbeidet.

Ifølge selskapet brukte angripere senere den oversette legitimasjonen til å få tilgang til interne ressurser. Grafana opplyste at inntrengningen kun påvirket en begrenset del av infrastrukturen, og at det foreløpig ikke finnes bevis for direkte kompromittering av kundenes Grafana Cloud-miljøer.

Selskapet forklarte også at hendelsen ble oppdaget og stoppet etter at mistenkelig aktivitet knyttet til den eksponerte tokenen ble identifisert.

Hendelsen startet med TanStack-angrepet

Grafana-bruddet kan spores tilbake til det tidligere supply chain-angrepet mot TanStack som påvirket flere organisasjoner i utviklerøkosystemet.

Under den opprinnelige hendelsen skal angripere ha kompromittert pakker tilknyttet TanStack-miljøet og brukt ondsinnet kode til å stjele legitimasjonsopplysninger, autentiseringstokener og sensitive utviklerhemmeligheter.

Sikkerhetsforskere advarte allerede den gang om at flere sekundære ofre kunne dukke opp senere dersom eksponerte legitimasjoner forble aktive i kompromitterte miljøer.

Grafana-hendelsen ser nå ut til å være et av disse sekundære bruddene.

Derfor er tokenrotasjon viktig

Sikkerhetseksperter sier at manglende tokenrotasjon fortsatt er en stor svakhet under hendelseshåndtering. Organisasjoner fokuserer ofte sterkt på å fjerne skadevare og blokkere den første tilgangen, samtidig som maskinlegitimasjoner angripere fortsatt kontrollerer blir oversett.

Moderne skyinfrastruktur er sterkt avhengig av tjenestekontoer, automatiseringstokener, CI/CD-hemmeligheter og API-legitimasjoner. Én glemt token kan gjøre det mulig for angripere å returnere stille til systemene lenge etter at forsvarsteam tror hendelsen er løst.

Forskere advarer om at skybaserte miljøer har økt antallet aktive legitimasjoner organisasjoner må overvåke og sikre kontinuerlig.

Supply chain-angrep fortsetter å vokse

Grafana-bruddet viser hvordan supply chain-angrep kan skape langvarige sekundære risikoer på tvers av teknologiøkosystemet.

Angripere retter seg i økende grad mot utviklingsmiljøer, pakkeregistre, CI/CD-pipelines og skyinfrastruktur fordi disse systemene ofte gir indirekte tilgang til mange organisasjoner samtidig.

Sikkerhetsforskere oppfordrer fortsatt selskaper til å styrke håndteringen av legitimasjonsopplysninger og forbedre synligheten rundt maskinautentisering.

Anbefalte sikkerhetstiltak inkluderer:

  • Roter alle eksponerte legitimasjoner umiddelbart
  • Gjennomgå aktive tokener regelmessig
  • Begrens tokenrettigheter der det er mulig
  • Overvåk mistenkelig autentiseringsaktivitet
  • Bruk kortere utløpstider for tokener
  • Gjennomgå tredjepartsavhengigheter kontinuerlig
  • Oppretthold komplette oversikter over aktive maskinlegitimasjoner

Organisasjoner bør også automatisere tilbakekalling av legitimasjoner for å redusere risikoen for oversette tokener etter sikkerhetshendelser.

Sikkerheten rundt legitimasjoner blir stadig viktigere

Maskinlegitimasjoner spiller nå en sentral rolle i moderne infrastrukturer. Skytjenester, automatiseringsplattformer, deploymentsystemer og utviklerarbeidsflyter er sterkt avhengige av tokener og API-autentisering.

Forskere advarer om at angripere i økende grad prioriterer tyveri av legitimasjoner fordi stjålne tokener kan gi vedvarende tilgang uten å utløse tradisjonelle malware-varsler.

Etter hvert som supply chain-angrep blir mer sofistikerte, øker presset på organisasjoner om å forbedre håndteringen av legitimasjoners livssyklus og overvåkingen av infrastrukturen.

Konklusjon

Grafana-bruddet viser hvordan én enkelt manglende tokenrotasjon kan forlenge konsekvensene av et stort supply chain-angrep. Angripere skal ha fått tilbake tilgang etter at én kompromittert legitimasjon forble aktiv etter den tidligere TanStack-hendelsen.

Sikkerhetseksperter advarer om at organisasjoner må styrke tokenhåndtering, synlighet rundt legitimasjoner og hendelseshåndtering etter hvert som skyinfrastruktur og supply chain-angrep fortsetter å utvikle seg.


0 responses to “Grafana-brudd knyttes til manglende tokenrotasjon”