LATEST NEWS

- News from the industry

WithSecure och Mend.io har täppt till en sårbarhet

I populär applikationssäkerhetsplattform
Sårbarheten kunde oåtgärdad ha resulterat i att potentiellt komprometterande säkerhetsinformation om Mend.io-kunder hade läckt ut.

WithSecure™ (tidigare känt som F-Secure Business) publicerade säkerhetsråd för att varna organisationer för en sårbarhet som företaget upptäckt i Mend.io:s applikationssäkerhetsplattform.

Mend.io:s plattform hjälper mjukvaruutvecklare att identifiera och åtgärda sårbarheter och säkerhetsproblem som finns i kodbibliotek. Enligt företagets hemsida har de över 1 000 kunder, inklusive 25 procent av Fortune 100-bolagen.

WithSecure™-personal upptäckte ett problem med Mend.io:s SAML (Security Assertion Markup Language) -inloggningsalternativ, en typ av single sign-on-autentisering som ger användare åtkomst till en mängd olika nättjänster med en enda uppsättning inloggningsuppgifter.

Sårbarheten som upptäcktes av WithSecure™ kunde ha möjliggjort för en Mend.io-kund, som agerar angripare, att använda den sårbara SAML-implementeringen för att komma åt data från undergrupper av andra Mend.io-kunder. Detta i samma software-as-a-service (SaaS)-miljö, genom att gissa sig till eller på annat sätt få tag på en giltig e-postadress från den angripna organisationen. Mend.io har många SaaS-miljöer, med många kunder i isolerade miljöer.

Även om informationen i Mend.io-konton varierar mellan olika företag, så innebär dess användning som en applikationssäkerhetsplattform en ökad sannolikhet för att angripare ska använda uppgifterna. På så sätt kan hotaktörer planera riktade attacker mot sårbara programvaror som de kan identifiera utifrån Mend.io:s data.

"I grund och botten skulle tjänsten för enkel inloggning acceptera alla legitima kunders e-postadresser utan någon ytterligare autentisering. Angripare skulle bara behöva skaffa ett Mend.io-konto i en specifik SaaS-miljö, konfigurera den för att acceptera autentiseringsmetoden för enkel inloggning, och sedan använda en e-postadress för målföretagets konto, steg som alla är genomförbara av dagens cyberbrottslingar,” säger chefsarkitekt Ari Inki, på WithSecure™.

WithSecure™ kontaktade Mend.io kring sina farhågor i maj 2023. Mend.io svarade snabbt och bekräftade WithSecures resultat, varpå de två företagen började arbeta med korrigeringen, som nu har implementerats i plattformen.

"Att säkra våra kunders data är avgörande för vår organisation, och vi är glada över att WithSecure var proaktiva för att hjälpa oss att identifiera och åtgärda detta problem. Genom att arbeta tillsammans kunde vi agera snabbt för att säkerställa att problemet åtgärdades innan någon hotaktör utnyttjade det för att attackera våra kunder,” säger Robert Nilsson, Executive Vice President of Customer Experience på Mend.io.

Mer information kring sårbarhet finns tillgänglig på WithSecure™ Labs:
https://labs.withsecure.com/advisories/mend-cross-tenant-access.

WithSecure™
Inari Anttila, PR Manager
inari.anttila@withsecure.com
tel. +358438240090

Northern Link PR för WithSecure™
Björn Dahlgren
bjorn@nlpr.se
tel. +46761603760
Contact information

Northern Link PR i Sverige AB

Mailing address
Kungs­gatan 60
11122 Stockholm
Visiting address
Kungs­gatan 60
11122 Stockholm
Region
Stockholm
Stockholms county
Sweden
Organization id:
556834-7198
Founded: Not specified
Employees: Not specified
English description is missing, swedish description below.

Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

Välkommen att kontakta oss.

Contacts

Henrik Aare
070-598 22 82

LATEST NEWS

- News from the industry
9/6/2024
Nytt cyberhot från Nordkorea kartlagtLanserar ramverk för informationsskyddAvanade utser Susanne till General Manager Riwal Sverige integreras med Cramo AB
9/5/2024
Nytt sortiment radarnivågivare YstaMaskiners nyhet för ökad klippkapacitetISCAR´s LOGIQ3CHAM-familj utökas 1KOMMA5° öppnar nordiskt showroomAntar gemensamt rollen som Newsecs VD
9/4/2024
Soft Touch AB i ett unikt samarbeteJordfelsbrytare Typ B 125APrecisionsmätning i mobila applikationerSå blev chiplets ny stand­ard i halvledarindustrin Söderberg & Haak välkomnar Terex Ecotecs
9/3/2024
EMC-Förskruvning i rostfritt stålUndvik fukt med SMC:s nya kondensdetektorArrangerar årets automationshändelseNy wifi-brygga till Yales Marknadstrenden för rostfritt stål
9/2/2024
Mobila arbetsplattformar Lösningar för eldrift och laddning Castellum fortsätter satsningarna på solel Panasonic har lanserat sitt Secure-sortiment Bedrägerier med QR-koder