Haavoittuvuus olisi voinut paljastaa mahdollisesti arkaluonteisia tietoturvatietoja Mend.io:n asiakkaista.
Helsinki – 5.9.2023: WithSecure™ (aiemmin F-Secure yritystietoturva) julkaisi tänään tietoturvavaroituksen yhtiön havaitsemasta haavoittuvuudesta Mend.io:n sovellusten tietoturvaa tukevassa alustassa.
Mend.io:n alusta auttaa ohjelmistokehittäjiä tunnistamaan ja korjaamaan koodikirjastoista löytyviä haavoittuvuuksia ja tietoturvaongelmia. Mend.io:n verkkosivuston mukaan sillä on yli 1 000 asiakasta, joihin lukeutuu 25 prosenttia Fortune 100 -yhtiöistä.
WithSecuren henkilöstö havaitsi ongelman Mend.io:n SAML-pohjaisessa kirjautumismenetelmässä, joka on eräänlainen kertakirjautumisratkaisu, jonka avulla käytetään useita eri verkkopalveluja yksillä kirjautumistunnuksilla.
WithSecuren löytämä haavoittuvuus saattoi antaa hyökkääjänä toimivalle Mend.io-asiakkaalle mahdollisuuden hyödyntää haavoittuvaa SAML-toteutusta päästäkseen käsiksi muiden samassa ohjelmisto palveluna (SaaS) -ympäristössä toimivien tietoihin arvaamalla tai muutoin hankkimalla kohteen sähköpostiosoitteen. Mend.io:lla on lukuisia SaaS-ympäristöjä ja useita eristetyissä ympäristöissä toimivia asiakkaita.
Vaikka Mend.io-tileillä olleet eri yrityksiä koskevat tiedot olivat keskenään erilaisia, alustan sovellusten tietoturvaan liittyvän käyttötarkoituksen vuoksi on todennäköistä, että hyökkääjät pystyivät käyttämään tietoja suunnitellakseen kohdennettuja hyökkäyksiä Mend.io:n datasta tunnistamiaan haavoittuvia ohjelmistoja vastaan.
”Periaatteessa kertakirjautumispalvelu saattoi hyväksyä minkä tahansa kelvollisen asiakkaan sähköpostiosoitteen ilman minkäänlaista lisätunnistautumista. Tällöin hyökkääjien olisi tarvinnut vain hankkia tietyssä SaaS-ympäristössä toimiva Mend.io-tili, määrittää se hyväksymään kertaluonteinen tunnistautuminen ja käyttää sitten kohteena olevan yrityksen tiliä sähköpostiosoitteen avulla. Nykypäivän kyberrikolliset pystyvät toteuttamaan kaikki nämä vaiheet”, sanoo WithSecuren johtava arkkitehti Ari Inki.
WithSecure ilmaisi huolensa Mend.io:lle toukokuussa 2023. Mend.io vahvisti WithSecuren havaintojen paikkansapitävyyden välittömästi, ja yritykset ryhtyivät yhdessä kehittämään ongelmaan ratkaisua, joka on nyt otettu käyttöön alustalla.
”Asiakkaidemme tietojen suojaaminen on organisaatiollemme ratkaisevan tärkeää, ja olemme tyytyväisiä, että WithSecure auttoi meitä proaktiivisesti tunnistamaan ja korjaamaan tämän ongelman. Yhteistyön ansiosta onnistuimme toimimaan nopeasti varmistaaksemme, että ongelma korjattiin ennen kuin uhkatoimijat kykenivät hyödyntämään sitä vahingoittaakseen asiakkaitamme”, kertoo Mend.io:n asiakaskokemuksesta vastaava johtaja Robert Nilsson.
Lisätietoja haavoittuvuudesta on saatavilla englanniksi WithSecure™ Labsissa osoitteessa: https://labs.withsecure.com/advisories/mend-cross-tenant-access
Median yhteyshenkilö
Inari Anttila
+358438240090
WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa.
WithSecure™ aiemmin F-Secure Yritystietoturva, on perustettu vuonna 1988 — NASDAQ OMX Helsinki.