İş zekası sağlayıcısı Klue'ye yapılan siber saldırı, aralarında Huntress, Recorded Future, Jamf ve Tanium gibi önde gelen siber güvenlik firmalarının da bulunduğu birçok şirketi etkiledi. Saldırganlar, Klue entegrasyonları için kullanılan OAuth token'larını çalarak bu firmaların Salesforce hesaplarına yetkisiz erişim sağladı. Olay, 12 Haziran'da tespit edilen bir izinsiz girişle başladı ve 19 Haziran'da Klue CEO'su Jason Smith tarafından kamuoyuna duyuruldu.
Saldırganlar, Klue'nin entegrasyon altyapısına, özellikle de Klue Battlecards uygulamasına, eski bir kimlik bilgisi kullanarak sızdı. Bu erişimle OAuth token'larını ele geçirdiler. OAuth token'ları, bir uygulamanın şifre gerektirmeden başka bir hizmetteki verilere erişmesini sağlayan dijital anahtarlardır. Saldırganlar bu token'ları kullanarak Klue'yi taklit etti ve bağlı Salesforce ortamlarındaki hassas müşteri verilerini çaldı. Klue, olaya müdahale ederek etkilenen kimlik bilgilerini ve token'ları iptal etti, yetkisiz kodları kaldırdı ve potansiyel olarak etkilenen entegrasyonları devre dışı bıraktı.
Klue, olayı kolluk kuvvetlerine bildirdi ve iç soruşturma başlattı. Adli bilişim desteği için CrowdStrike ile anlaştı. Müşterilere, yaşananlar hakkında düzenli güncellemeler yapıldı ve iyileştirme rehberliği sağlandı. Salesforce da 17 Haziran'da Klue Battlecards entegrasyonunu devre dışı bıraktığını duyurdu. Saldırganların, güvenlik açığından yararlanarak bir entegrasyondan müşteri CRM'ine yanal hareket edebilmesi, modern tehdit aktörlerinin gelişen taktiklerini gözler önüne seriyor.
Sistem Güvenliği
Etkilenen siber güvenlik firmaları, kendi ürün ve hizmetlerinin etkilenmediğini açıkladı. Tanium, müşterilere hizmet verme kabiliyetlerinde herhangi bir etki olmadığını belirtti. Jamf, yanal hareket kanıtı bulunmadığını ve olayın kendi taraflarında kontrol altına alındığını ifade etti. Ancak Huntress, müşteri verilerinin tehlikeye girmiş olabileceği konusunda uyardı; iş adları, denenmiş/kullanılmış ürünler, abonelik detayları, iş iletişim bilgileri ve pazarlama/satış yazışmalarının çalınmış olabileceğini bildirdi.
Jamf, müşterilerini çalınan Salesforce verilerini kullanarak düzenlenebilecek oltalama kampanyalarına karşı uyardı ve kötü niyetli aktörlerin Jamf çalışanı gibi davranabileceğini belirtti. Recorded Future, Klue entegrasyonunu devre dışı bıraktı ve adli analiz gerçekleştirdi. Firma, üçüncü taraf entegrasyonlarının sürekli izlenmesinin kritik önemini vurgulayarak, "Bu olay, özellikle hassas verilere ayrıcalıklı erişimi olan üçüncü taraf entegrasyonlarının sürekli izlenmesinin kritik gerekliliğini ortaya koyuyor" dedi.
İhlali ilk tespit eden firma ReliaQuest oldu ve Klue'yi uyardı. Ancak ReliaQuest, Klue kullanmadığını ve saldırıdan etkilenmediğini açıkladı. Saldırının, siber güvenlik firmalarının yanı sıra sigorta hizmet sağlayıcısı Insurity ve sosyal medya analiz platformu Sprout Social gibi siber güvenlik dışı firmaları da etkilediği belirtildi. Saldırıyı, 19 Haziran'da, yeni ortaya çıkan bir siber gasp grubu olan Icarus üstlendi. Icarus'un veri sızıntı sitesinde sadece üç kurban listelendiği görüldü.
20 Haziran'da Icarus, ulaştığını iddia ettiği tüm Klue müşterilerine bir süre mesajı yayınladı ve verileri yayınlanmadan önce 22 Haziran'a kadar yanıt vermeleri gerektiğini belirtti. Bu olay, iş zekası araçları ve üçüncü taraf entegrasyonlarının siber güvenlik risklerini bir kez daha gündeme getirdi. Şirketlerin, OAuth token'ları gibi hassas kimlik bilgilerini yönetirken daha sıkı güvenlik önlemleri alması ve entegrasyonları sürekli izlemesi gerekiyor.
Uzmanların Görüşleri
Bu makale 22 Haziran'da ReliaQuest'in yorumları eklenerek güncellenmiştir. Okuyucular, üçüncü taraf entegrasyonlarının güvenliğini sağlamak için OAuth token'larının düzenli olarak rotasyonu, en az ayrıcalık ilkesinin uygulanması ve anormal aktivitelerin tespiti için izleme sistemlerinin kurulması gibi pratik adımlar atabilir. Ayrıca, şirketlerin tedarik zinciri güvenliğini değerlendirmesi ve acil durum müdahale planlarını gözden geçirmesi önem taşıyor.
Kaynak: infosecurity-magazine.com