La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) insta a las organizaciones a cambiar cualquier credencial que hayan compartido o almacenado con Sisense, un proveedor de servicios y software de análisis de datos, debido a un compromiso que aún se está investigando.
La plataforma de Sisense permite a las empresas conectar varias fuentes de datos, incluidas bases de datos, hojas de cálculo, servicios en la nube y aplicaciones web, y luego utilizar las herramientas de la plataforma para analizar esos datos y generar informes y visualizaciones. Entre los clientes de la empresa se incluyen importantes empresas de diversas industrias, incluidas la atención sanitaria, el comercio minorista, la fabricación, la tecnología, los servicios financieros y la farmacia.
«CISA está asumiendo un papel activo en la colaboración con socios de la industria privada para responder a este incidente, especialmente en lo que se refiere a las organizaciones del sector de infraestructura crítica afectadas», dijo la agencia en una alerta.
Sisense no respondió de inmediato a una solicitud de comentarios de una OSC, pero el periodista independiente Brian Krebs publicó una copia del mensaje que Sisense CISO Sangram Dash envió a los clientes de la empresa. En el mensaje, Dash advierte que «cierta información de la empresa Sisense puede haber estado disponible en lo que nos han informado que es un servidor de acceso restringido (que generalmente no está disponible en Internet)».
No está claro si esto se refiere a un servidor de Sisense que inadvertidamente estuvo expuesto a acceso externo o a un servidor donde los atacantes almacenaron la información después de haber sido robada como resultado de una violación de seguridad de los sistemas de la empresa. Según CISA, el incidente fue descubierto por investigadores de seguridad independientes e involucró datos de clientes de Sisense.
Dash recomendó a los clientes que roten rápidamente cualquier credencial que utilicen en su aplicación Sisense, recomendación de la que CISA se hizo eco. La agencia también pidió a los usuarios que investigaran cualquier actividad potencialmente sospechosa que involucrara credenciales que compartieran con la empresa.
La plataforma Sisense tiene múltiples opciones de implementación, incluida una versión en la nube administrada por Sisense, una versión que se puede implementar en la propia nube del cliente y otra que se puede implementar en las instalaciones. La plataforma ofrece muchos complementos y opciones de integración, así como un kit de desarrollo de software (SDK) que los desarrolladores pueden integrar en sus propias aplicaciones.
«La naturaleza de Sisense es que requieren acceso a las fuentes de datos confidenciales de sus clientes», dijo el investigador de seguridad Marc Rogers. dijo en X. “Tienen acceso directo a conexiones JDBC, SSH y plataformas SaaS como Salesforce y muchas más. También significa que tienen tokens, credenciales y certificados que a menudo tienen un alcance superior. Los datos robados de Sisense contenían todos estos tokens, credenciales y configuraciones de acceso”.
«Este es el peor de los casos para muchos clientes de Sisense», señaló Rogers. “Estas son a menudo literalmente las llaves de sus reinos. Trátelo como un evento EXTREMADAMENTE grave”.
Mientras tanto, el investigador de seguridad Dave Kennedy aconsejado Los clientes de Sisense deben cambiar las claves API además de las contraseñas de las cuentas de Sisense y buscar cualquier actividad inusual que data del 5 de abril en adelante.