Klue Sızıntısı: OAuth Token'larıyla Siber Güvenlik Firmaları Tehdit Altında Yazılım

Klue Sızıntısı: OAuth Token'larıyla Siber Güvenlik Firmaları Tehdit Altında

Klue'daki ihlal, siber güvenlik devlerini vurdu: OAuth token'ları çalındı, Salesforce hesapları ele geçirildi.

İş zekası sağlayıcısı Klue'ya yapılan siber saldırı, başta siber güvenlik firmaları olmak üzere birçok şirketi etkiledi. Huntress, Recorded Future, Jamf ve Tanium, Klue'un hizmetlerini kullandıklarını ve saldırganların, Klue entegrasyonları için kullanılan OAuth token'larını çalarak Salesforce hesaplarına yetkisiz erişim sağladığını doğruladı. Olay, üçüncü taraf entegrasyonlarının zincirleme etkiler yaratabileceğini bir kez daha gösterdi.

Klue CEO'su Jason Smith'in 19 Haziran'da yayımladığı resmi açıklamaya göre, şirket 12 Haziran'da bir izinsiz giriş tespit etti. Saldırgan, eski bir kimlik bilgisini kullanarak Klue'un entegrasyon altyapısına, özellikle Klue Battlecards uygulamasına erişti. Bu erişimle, Salesforce gibi üçüncü taraf platformlara bağlanmak için kullanılan OAuth token'larını ele geçirdi. OAuth token'ları, bir uygulamanın şifre gerektirmeden başka bir hizmetteki verilere erişmesini sağlayan dijital anahtarlar olarak işlev görüyor. Saldırgan, bu token'ları kullanarak Klue müşteri verilerine ulaştı ve kendini Klue gibi göstererek Salesforce ortamlarındaki hassas bilgileri sızdırdı.

Klue, olaya hızlı yanıt vererek etkilenen kimlik bilgilerini ve token'ları iptal etti, yetkisiz kodları kaldırdı ve potansiyel olarak tehlikeye giren entegrasyonları devre dışı bıraktı. Ayrıca kolluk kuvvetlerine bildirimde bulunuldu ve iç soruşturma başlatıldı. Şirket, adli bilişim desteği için CrowdStrike ile anlaştığını duyurdu. Salesforce da 17 Haziran'da Klue Battlecards entegrasyonunu devre dışı bıraktığını kamuoyuna bildirdi.

Etkilenen siber güvenlik firmaları, müşterilerine yönelik blog yazılarında, ihlalin Klue altyapısından kaynaklanmasına rağmen kendi ürün ve hizmetlerinin etkilenmediğini vurguladı. Tanium, 'müşterilere hizmet verme yeteneklerinde bir etki olmadığını' belirtirken, Jamf 'yatay hareket kanıtı bulunmadığını ve olayın kendi taraflarında kontrol altına alındığını' ifade etti. Ancak Huntress, işletme adları, kullanılan/denenen ürünler, abonelik detayları, iletişim bilgileri ve pazarlama-satış yazışmaları gibi müşteri verilerinin tehlikeye girmiş olabileceği uyarısında bulundu. Jamf ise müşterilerini, çalınan Salesforce verilerini kullanarak düzenlenecek oltalama saldırılarına karşı uyardı.

Gelecekte Ne Bekleniyor?

Recorded Future, Klue entegrasyonunu devre dışı bıraktığını ve adli analiz yaptığını açıklayarak, 'Bu olay, özellikle hassas verilere ayrıcalıklı erişimi olan üçüncü taraf entegrasyonlarının sürekli izlenmesinin kritik önemini vurguluyor' dedi. İhlali ilk tespit eden ReliaQuest oldu ve Klue'yu uyardı. Ancak ReliaQuest, Klue kullanmadığını ve saldırıdan etkilenmediğini belirtti. ReliaQuest, saldırganların OAuth token'larını kullanarak Salesforce ortamlarına nasıl yatay hareket ettiğini yorumlarken, 'Bir entegrasyondan müşterinin CRM'sine yatay hareket edebilme yeteneği, modern tehdit aktörlerinin gelişen taktiklerini gösteriyor' ifadelerini kullandı.

Nasıl Önlem Alınmalı?

Siber güvenlik firmalarının yanı sıra sigorta hizmet sağlayıcısı Insurity ve sosyal medya analiz platformu Sprout Social da etkilenenler arasında yer aldı. Saldırıyı 19 Haziran'da, yeni ortaya çıkan bir siber gasp grubu olan Icarus üstlendi. Ransomware.live verilerine göre Icarus'un sızıntı sitesinde yalnızca üç kurban listeleniyor. Grup, 20 Haziran'da iletişime geçtiğini iddia ettiği tüm Klue müşterilerine, verilerinin yayınlanmaması için 22 Haziran'a kadar yanıt vermeleri gerektiği uyarısında bulundu.

Bu olay, üçüncü taraf entegrasyonlarının güvenlik zincirinde ne kadar zayıf halka olabileceğini gösteriyor. OAuth token'larının çalınması, saldırganlara şifre gerektirmeden geniş bir veriye erişim imkanı tanıyor. Şirketlerin, özellikle CRM gibi kritik sistemlere bağlanan entegrasyonları sıkı denetim altında tutması, token yönetimi ve izleme mekanizmalarını güçlendirmesi gerekiyor. Ayrıca, eski ve kullanılmayan kimlik bilgilerinin düzenli olarak temizlenmesi, bu tür sızıntıların önlenmesinde önemli bir adım.

Kaynak: infosecurity-magazine.com

Paylaş: