피드로 돌아가기
The RegisterSecurity
원문 읽기
Legacy Credential 탈취를 통한 OAuth Token 기반 Supply-chain Attack
Security shops among the 'hundreds' of Klue hack victims
AI 요약
Context
Klue의 통합 인프라 내 관리되지 않은 Legacy Credential이 공격자에 의해 노출된 상황. 이를 통해 Salesforce 등 서드파티 플랫폼과 연결된 OAuth Token이 탈취되며 수백 개의 고객사 CRM 데이터가 유출된 구조적 취약점 발생.
Technical Solution
- Legacy Credential 관리 부재로 인한 인증 체계의 단일 실패 지점(Single Point of Failure) 노출
- 탈취한 자격 증명을 이용해 내부 통합 서비스의 OAuth Token에 접근하는 권한 상승 경로 활용
- Salesforce, Gong, HubSpot 등 다수 외부 플랫폼 API와의 상호 운용성을 악용한 데이터 Exfiltration 수행
- 사고 인지 후 Salesforce를 포함한 모든 외부 연동 인프라의 즉각적인 Disconnection 처리
- CrowdStrike를 통한 침입 경로 분석 및 OAuth Token 무효화를 통한 추가 접근 차단
실천 포인트
1. 사용하지 않는 Legacy Credential의 전수 조사 및 즉각적인 삭제 절차 수립
2. OAuth Token의 유효 기간(TTL) 최적화 및 최소 권한 원칙(Principle of Least Privilege) 적용
3. 서드파티 통합 서비스 접근 시 MFA(Multi-Factor Authentication) 강제 적용 여부 검토
4. Application Log 모니터링을 통한 비정상적인 OAuth Token 사용 패턴 탐지 체계 구축