Ett nyligt intrång hos Grafana kopplades till en missad tokenrotation efter den tidigare supply chain-attacken mot TanStack. Grafana bekräftade att angripare återfick åtkomst till interna system eftersom en komprometterad autentiseringstoken fortfarande var aktiv efter den ursprungliga incidenthanteringen.
Händelsen belyser de växande riskerna kring tokenhantering och säkerheten för molnbaserade autentiseringsuppgifter. Forskare varnar för att angripare allt oftare använder stulna maskinuppgifter för att behålla långsiktig åtkomst efter supply chain-attacker.
Grafana bekräftade misslyckad tokenrotation
Grafana uppgav att intrånget inträffade eftersom en åtkomsttoken kopplad till TanStack-komprometteringen inte roterades korrekt under saneringsarbetet.
Enligt företaget använde angripare senare den förbisedda autentiseringstoken för att få åtkomst till interna resurser. Grafana uppgav att intrånget endast påverkade en begränsad del av infrastrukturen och att det för närvarande inte finns några bevis för direkt kompromettering av kunders Grafana Cloud-miljöer.
Företaget meddelade också att incidenten identifierades och stoppades efter att misstänkt aktivitet kopplad till den exponerade token upptäckts.
Händelsen började med TanStack-attacken
Grafana-intrånget kan spåras tillbaka till den tidigare supply chain-komprometteringen mot TanStack som påverkade flera organisationer inom utvecklingsekosystemet.
Under den tidigare attacken ska angripare ha komprometterat paket kopplade till TanStack-miljön och använt skadlig kod för att stjäla autentiseringsuppgifter, åtkomsttoken och känsliga utvecklarhemligheter.
Säkerhetsforskare varnade redan då för att fler sekundära offer kunde dyka upp senare om exponerade autentiseringsuppgifter förblev aktiva i drabbade miljöer.
Grafana-incidenten verkar nu vara ett av dessa sekundära intrång.
Därför är tokenrotation viktigt
Säkerhetsexperter uppger att misslyckad tokenrotation fortfarande är en stor svaghet under incidenthantering. Organisationer fokuserar ofta starkt på att ta bort skadeprogram och blockera initial åtkomst samtidigt som maskinuppgifter som angripare fortfarande kontrollerar förbises.
Modern molninfrastruktur är starkt beroende av tjänstekonton, automatiseringstoken, CI/CD-hemligheter och API-autentisering. En enda bortglömd token kan göra det möjligt för angripare att tyst återvända till systemen långt efter att försvarsteam tror att incidenten är löst.
Forskare varnar för att molnbaserade miljöer kraftigt har ökat mängden aktiva autentiseringsuppgifter som organisationer måste övervaka och skydda kontinuerligt.
Supply chain-attacker fortsätter att växa
Grafana-intrånget visar hur supply chain-attacker kan skapa långsiktiga sekundära risker genom hela teknikekosystemet.
Angripare riktar sig allt oftare mot utvecklingsmiljöer, paketregister, CI/CD-pipelines och molninfrastruktur eftersom dessa system ofta ger indirekt åtkomst till många organisationer samtidigt.
Säkerhetsforskare uppmanar fortsatt företag att stärka hanteringen av autentiseringsuppgifter och förbättra synligheten kring maskinautentisering.
Rekommenderade skyddsåtgärder inkluderar:
- Rotera alla exponerade autentiseringsuppgifter omedelbart
- Granska aktiva token regelbundet
- Begränsa tokenbehörigheter där det är möjligt
- Övervaka misstänkt autentiseringsaktivitet
- Använd kortare giltighetstider för token
- Granska tredjepartsberoenden kontinuerligt
- Upprätthåll kompletta inventarier över aktiva maskinuppgifter
Organisationer bör också automatisera återkallning av autentiseringsuppgifter för att minska risken för förbisedda token efter säkerhetsincidenter.
Säkerheten kring autentiseringsuppgifter blir allt viktigare
Maskinuppgifter spelar idag en central roll i moderna infrastrukturer. Molntjänster, automatiseringsplattformar, deploymentsystem och utvecklararbetsflöden är starkt beroende av token och API-autentisering.
Forskare varnar för att angripare allt oftare prioriterar stöld av autentiseringsuppgifter eftersom stulna token kan ge långvarig åtkomst utan att aktivera traditionella skydd mot skadeprogram.
När supply chain-attacker fortsätter att bli mer avancerade ökar pressen på organisationer att förbättra hanteringen av autentiseringsuppgifter och övervakningen av infrastrukturen.
Slutsats
Grafana-intrånget visar hur en enda missad tokenrotation kan förlänga effekterna av en stor supply chain-attack. Angripare ska ha återfått åtkomst efter att en komprometterad autentiseringstoken förblev aktiv efter den tidigare TanStack-incidenten.
Säkerhetsexperter varnar för att organisationer måste stärka tokenhantering, synlighet kring autentiseringsuppgifter och incidenthantering i takt med att molninfrastruktur och supply chain-attacker fortsätter att utvecklas.
0 svar till ”Grafana-intrång kopplas till missad tokenrotation”