Klue供应链投毒横扫安全圈

admin 2026-07-13 05:44:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年6月12日,温哥华市场研究公司Klue因一枚2022年遗留测试凭据被Icarus勒索组织利用,导致OAuth令牌存储库遭窃,波及LastPass、HackerOne、RecordedFuture、Tanium等安全厂商。攻击者通过OAuth令牌直接访问客户云环境,提取支持工单、联系人等数据。事件警示SaaS集成层凭据管理是供应链安全关键,建议强制凭据轮换、最小权限和自动化生命周期管理。 综合评分: 87 文章分类: 漏洞分析,供应链安全,数据泄露,安全运营,安全意识


cover_image

Klue供应链投毒横扫安全圈

原创

星夜AI安全 星夜AI安全

星夜AI安全

2026年7月7日 16:43 吉林

在小说阅读器读本章

去阅读

🌈

2026年6月12日温哥华市场研究公司Klue被入侵,一枚2022年的遗留测试凭据存活4年被Icarus勒索组织武器化;OAuth令牌存储库遭窃波及LastPass/HackerOne/Recorded Future/Tanium等安全行业核心厂商

Klue 供应链投毒撼动整个安全圈:LastPass/HackerOne/Tanium同陷 OAuth 令牌失守

2026年6月12日,温哥华市场研究公司 Klue 的内部系统被黑客攻入——攻击者利用的是 4年前就已结束的 pilot 阶段留下的一枚未被撤销的凭据。通过该凭据攻击者触达 Klue 的 OAuth 令牌存储库,借此横扫全部客户的云端数据,LastPass、HackerOne、Recorded Future、Tanium 等安全行业标杆厂商无一幸免。勒索组织”Icarus”已公开宣称负责,并威胁公开数据。


一、事件概述

| 项目 | 详情 | | — | — | | 入侵发现 | 2026年6月12日(Klue 检测) | | 首次披露 | 2026年6月19日(周五) | | 攻击组织 | Icarus(已公开认领) | | 攻击载体 | 一枚2022年 pilot 阶段遗留凭据 | | 影响范围 | LastPass / HackerOne / Recorded Future / Tanium 等 | | 数据类型 | OAuth 令牌、客户支持数据、联系人信息 | | Klue 业务 | 温哥华市场研究,sales enablement 服务商 | | 核心漏洞模式 | Supply Chain Attack → OAuth Token Theft → SaaS 横扫 |

讽刺的是——攻击的是一家专门做竞品情报的公司,自家却因凭据管理失误导致客户数据大规模泄露。这再次印证了”安全行业的最薄弱环节,往往在第三方 SaaS 供应商”。


二、攻击过程还原(时间线)

阶段1:渗透(2026年6月12日之前)

[2022] Klue 进行某 pilot 阶段
       → 创建了集成服务凭据发送给"未具名第三方"
       → pilot 结束,凭据未撤销(**4年断点**)

[2022-2026.6.12] 该凭据在环境中一直存活

[2026.6.12 之前] 攻击者 Icarus 拿到该凭据

阶段2:横向(2026年6月12日)

[6.12] Klue 检测系统异常入侵,发现可疑活动
      → 凭据被用于访问 Klue 的 OAuth 令牌存储库
      → 该令牌库是 Klue 帮助客户连接 AWS/GCP/Azure 时的认证中转
      → 攻击者批量下载 OAuth 令牌

阶段3:扩展(2026年6月12日 – 6月24日)

[6.12-6.24] 攻击者使用下载的 OAuth 令牌
            → 直接访问 LastPass / HackerOne / Recorded Future / Tanium 的云环境
            → 提取客户支持工单、联系人、IP地址等技术情报

阶段4:勒索(2026年6月25日及之后)

[6.25] Icarus 公开宣称攻击并发出勒索威胁
      → 要求 Klue 支付赎金
      → 威胁不付款则公开数据

阶段5:行业震荡(持续中)

[6.25 至今] 整个网络安全行业进入紧急审查
           → LastPass 历史性二度泄露
           → HackerOne、Recorded Future、Tanium 联合声明
           → 多家行业组织开始审查 SaaS 供应链安全

三、技术分析

3.1 OAuth 令牌存储库为何成为”万能钥匙”

Klue 业务核心是销售情报平台,它的产品逻辑决定了它必须拿到客户的云环境凭据。它的架构是这样的:

[Klue SaaS 平台]
       ↓
[OAuth Token Vault] ← Klue 存了所有客户的 OAuth 令牌
       ↓
[客户的 AWS / GCP / Azure / 内部SaaS]

一旦 OAuth Vault 被攻破,等同于拿到了每条客户的”万能钥匙”。这正是 ServiceNow MID Server CVE-2026-21411 那次导致 341 个客户实例泄露事件的同源模式——“集成层 → 客户爆炸半径规模放大”

3.2 攻击者使用的关键漏洞

| 类型 | 内容 | | — | — | | 核心缺陷 | 长期遗留凭据(4年) | | 技术架构 | OAuth Token Vault 单点风险 | | 绕过机制 | 凭据未轮换 + 未撤销 + 无 MFA | | 横向能力 | 利用 OAuth 令牌无需再次认证 |

3.3 LastPass 二次泄露的核心问题

LastPass 在 6月24日承认——攻击者获得了:

  • 客户姓名
  • 电话号码
  • 电子邮箱地址
  • 物理地址
  • 客户支持工单数据
  • 销售相关数据

虽然密码保险箱(vault)本身未被触及,但客户支持工单中含有大量高敏感片段(过往经验是它们经常包含账号密码、身份证件照片、订单信息等关键数据)。LastPass 2022 年那次泄露的就是整个 vault 容器(加密但可离线破解),后来导致至少 440万美元加密货币被盗——而那已经是 LastPass 五年内的第二次重大事件

讽刺的是,作为密码管理服务商的 LastPass 却接连成为供应链攻击的受害者。这给所有企业 IT 决策者一个警示:

🌈

“你买的安全产品的安全,不会比它的供应链安全。”

3.4 同模式横向看:ServiceNow MID Server CVE-2026-21411

本月同期发生的 ServiceNow MID Server 认证绕过漏洞(CVE-2026-21411)也采用 “集成层漏洞 → 影响每家客户” 的攻击模式:

  • 341 个 ServiceNow 客户实例被从认证绕过漏洞中提取数据
  • 与 Klue 攻击唯一的区别是:ServiceNow 是被研究人员发现的,Klue 是被勒索组织利用的
  • 攻击者一旦换成 Icarus 类组织,ServiceNow 同样可以重演 Klue 剧本

四、影响评估

4.1 直接受影响公司数据清单

| 公司 | 业务类型 | 数据暴露程度 | | — | — | — | | LastPass | 密码管理 | 🟡 中等(仅支持工单+联系人) | | HackerOne | 漏洞众测平台 | 🟡 中等(安全研究联系人外泄) | | Recorded Future | 威胁情报 | 🟡 中等(分析师+客户业务数据) | | Tanium | 端点管理 | 🟡 中等(客户实例配置信息) | | Klue 自有客户 | 销售情报 | 🟠 较高(销售数据+客户关系) |

4.2 衍生风险评估

⚠️ 供应链连锁效应

  1. 凭据钓鱼激增——攻击者掌握了 LastPass 高质量客户名单,可针对性发起精心钓鱼
  2. 高价值目标画像——HackerOne 的研究人员信息暴露是黑市高价值数据
  3. 供应商信任崩塌——所有依赖 Klue 的客户将面临续约与迁移决定
  4. 保险理赔——多家厂商将面对网络保险的赔付审议

4.3 监管风险

参照韩国 2021 Coupang 数据泄露事件被罚 $40.9M 的判例:

🌈

如果 Klue 与 LastPass 后续披露不及时被认定为不充分,将面临巨额罚款

美国 SEC 网络事件披露新规(2023年12月生效)下,“重大网络安全事件”必须在 4 个工作日内披露。目前 Klue 的”沉默”姿态,已经把监管后续压力推到极限。


五、行业警示与建议

5.1 给安全厂商的建议

  1. 清查第三方 SaaS 供应商凭据管理——立即审计所有集成的 OAuth 凭据、API key,标注过期风险
  2. 强制客户 OAuth 令牌的最小权限——避免一次性颁发全场管理员权限
  3. 凭据生命周期自动化——pilot 结束后强制自动撤销 + 季度手动复核
  4. 监控 OAuth 异常使用——Microsoft Defender for Cloud Apps、CASB 工具启用 OAuth 滥用检测

5.2 给企业 IT 的建议

  1. 建立”凭据过期监控表”——把所有与 SaaS 服务商集成的密钥 / OAuth 凭据清单化管理,标注过期日
  2. 关键 SaaS 服务 “加密金库” 模式——要求厂商使用专用 Vault(如 HashiCorp Vault)存储令牌,并强制轮换周期 ≤90天
  3. 供应商风险评估——把 Klue 案例纳入 Tier-1 供应商风险评估的必查项
  4. MFA 强制——所有 OAuth / API key 必须配合 IP 白名单 + MFA

5.3 给安全研究人员的建议

  1. 审查 SaaS 集成层安全——Klue 与 ServiceNow 案例显示这是 2026 年最大攻击面
  2. 关注 OAuth 滥用——开发新的规则检测 “OAuth 令牌异常使用”(如异地登录、非白名单 User Agent 等)
  3. PRIROITIZE 集成层 API 安全测试——传统 DAST 工具对 OAuth 流程覆盖不足

5.4 给个人的建议(LastPass 用户角度)

  1. 启用 LastPass 主密码 + MFA——目前 vault 未被泄露,但工单数据可能涉及
  2. 检查账户支持记录——若在 2026年6月期间曾向 LastPass 提交过工单,注意定向钓鱼
  3. 评估是否迁移到 Bitwarden / 1Password / KeePass——考虑到 LastPass 历史上两次重大泄露

六、关键启示

Klue 事件给所有企业上了 “供应链安全第四课”

🌈

第一课(SolarWinds):软件供应链上游污染 第二课(3CX):上游污染向下游传导 第三课(TanStack/OpenAI):开源依赖投递后门 第四课(Klue):SaaS 集成层的 OAuth 凭据失守 = 全客户爆炸

核心经验

  • 一枚未被撤销的测试凭据存活 4 年 → “留个测试账号以后删”是供应链攻击的最大温床
  • OAuth 令牌存储库是 “万能钥匙盒” → 所有 SaaS 服务商必须将 Vault 设计为最高安全域
  • 集成层漏洞爆炸半径按”客户数”放大 → 影响远超单家公司

整个安全行业 2026 年踩进了自己擅长的领域:保护好大家的安全之前,先要保护好自己


🌈

2026 年供应链攻击已成 APT、勒索组织、SaaS 业务的「三赢」目标。关注「星夜AI安全」,第一时间收到攻击案例深度分析、红蓝对抗实战技巧、内网渗遗留防护指南。


圈子介绍

现任职于某头部网络安全企业攻防研究部,核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练,精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中,主导突破多个高防护目标网络,曾获”最佳攻击手””突出贡献个人”等荣誉。

已产出的安全工具及成果包括:

  • 多款主流杀软通杀工具(兼容卡巴斯基、诺顿、瑞星、360等终端防护,无感知运行,突破多引擎联合检测)
  • XXByPassBehinder v1.1 冰蝎免杀生成器(定制化冰蝎免杀工具,绕过主流终端防护与EDR动态检测,支持自定义载荷)
  • 哥斯拉二开免杀定制版(二开优化,深度免杀,突破终端防护与EDR检测,适配多场景植入)
  • NeoCS4.9终极版(高级免杀加载工具,强化载荷注入与进程劫持,适配多系统版本,无兼容问题)
  • WinDump_免杀版(浏览器凭证窃取工具,支持Chrome/Edge/Firefox等主流浏览器,一键提取敏感数据,免杀过防护)_
  • _DumpBrowser_V1_免杀版(浏览器凭证窃取工具,专攻浏览器密码、Cookie、历史记录提取,免杀性能拉满)
  • fscan二开版(二开优化内网扫描工具,增强指纹精度、弱口令爆破与结果标准化输出,适配复杂内网)
  • RingQ加载器二开版(二开优化免杀加载器,支持Shellcode内存执行,绕过各类终端防护与EDR检测)
  • 多款免杀Webshell集合(覆盖PHP/JSP/ASPX,过主流WAF与终端防护,适配不同Web场景)
  • 免杀360专属加载器(支持Shellcode内存执行,针对性绕过360全系防护检测,无感知运行)
  • 一键Kill 火绒 defender 工具 HDKiller(包含源码)
  • win11 一键kill 360工具 InjectKill(包含源码)
  • win11 一键kill defender工具win11_df-killer(包含源码)
  • 免杀火绒6.0内存防护加载器BypassMemLoader
  • 单文件过360 免杀loader exe_bypass_360
  • 单文件过火绒 df 免杀loader exe_bypass_df(包含源码)
  • LNK钓鱼文件生成工具V1.0
  • EXE捆绑启动器 v2.0
  • 火绒6内存免杀加载器bypasshr6
  • 火绒一键Kill专杀工具HRKiller
  • Ring3 内存免杀工具Ring3bypasshr.exe

后续将不断更新到内部圈子中 欢迎加入圈子


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:星夜AI安全 星夜AI安全 星夜AI安全《Klue供应链投毒横扫安全圈》

密码重置后未授权会话绑定 网络安全文章

密码重置后未授权会话绑定

文章总结: 文章分析密码重置后未授权会话绑定漏洞,攻击者在未登录状态下完成密码重置后,系统未销毁旧会话或未校验会话状态,导致自动登录目标账户,可越权访问。建议修
评论:0   参与:  0