YORUM
2024’ün en önemli NHI (insan dışı kimlik) saldırılarına ve yıl sonundaki patlamalarına baktığımızda, 2025’in makineden makineye kimlik hırsızlığı açısından zorlu bir yıl olacağına dair endişe verici bir sinyal gönderiyoruz.
Bir yıl önce NHI büyük bir uyarı ateşiyle sahneye çıktı. Cloudflare, NHI’nın kötü yönetiminin büyük bir ihlale neden olduğunu açıkladı2023 Okta ele geçirmesinde açığa çıkan erişim belirtecinin ve hesap kimlik bilgilerinin döndürülmesindeki başarısızlıktan kaynaklanıyor.
Saldırı kontrol altına alınsa da Cloudflare üzerindeki etkisi yine de önemliydi. Şirket, tüm üretim kimlik bilgilerini (5.000’den fazla bireysel kimlik bilgisi) döndürmesi, test ve hazırlama sistemlerini fiziksel olarak bölümlere ayırması, 4.893 sistemde adli önceliklendirme yapması ve ardından küresel ağındaki her makineyi yeniden görüntülemesi ve yeniden başlatması gerektiğini açıkladı.
Yıl ilerledikçe NHI ihlalleri hız kazandı.
Haziran ayında New York Times, 5.000 veri deposunda 270 GB dahili veri ve uygulamanın yer aldığı kendi haberini yaptı. GitHub’dan çalındı ve Web’de yayınlandı.
Nasıl? İhlal, makineler arası bir sır olan GitHub Kişisel Erişim Simgesinin, şirketin kod depolarına yetkisiz erişime izin vermesiyle NHI kullanılarak gerçekleştirildi. “Basılmaya Uygun Tüm Haberler” yayını hikayeyi küçümsedi. Ancak siber güvenlik uzmanları kaynak kodu sızıntılarının geniş kapsamlı sonuçları olabileceğini öne sürerek aynı fikirde değildi.
Yüksek Profilli İhlal Açıklamaları
Yıl, dördüncü çeyrekte NHI’ye atfedilen çok sayıda yüksek profilli ihlal açıklamasıyla sona erdi.
Adobe Commerce (eski adıyla Magento) yazılımını çalıştıran binlerce çevrimiçi mağaza saldırıya uğradı ve dijital ödeme skimmer’ları bulaştı. NHI saldırısında, bir uygulama programlama arayüzü (API) yetkilendirme jetonu oluşturmak için çalıntı kriptografik anahtarlar kullanıldı ve saldırganın özel müşteri verilerine erişmesine ve ödeme skimmer’larını ödeme sürecine eklemesine olanak tanıdı.
Milyonlarca kişi tarafından kullanılan Android ve iOS uygulamalarında bulunan AWS ve Microsoft Azure makineler arası kimlik doğrulama anahtarlarının güvenliği ihlal edildi ve kullanıcı verileri ve kaynak kodu güvenlik ihlallerine maruz kaldı. Bu tür kimlik bilgilerinin açığa çıkması, hassas kullanıcı verilerinin bulunduğu depolama paketlerine ve veritabanlarına kolayca yetkisiz erişime yol açabilir. Bunun dışında saldırganlar bunları verileri işlemek veya çalmak için kullanabilir.
Schneider Electric, geliştirme platformunun ihlal edildiğini doğruladı Bir bilgisayar korsanının verileri çalmak için açıkta kalan Jira kimlik bilgilerini kullanmasının ardından. Bilgisayar korsanı, ihlalin projeler, sorunlar ve eklentiler dahil olmak üzere kritik verilerin yanı sıra 400.000’den fazla kullanıcı verisi satırından (toplamda 40 GB’tan fazla sıkıştırılmış veri) tehlikeye atıldığını övdü.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) uyardı Saldırganların, güvenlik duvarı yapılandırmasını Checkpoint, Cisco ve diğer sağlayıcılardan PAN-OS’a dönüştürmeye yardımcı olabilecek bir geçiş aracı olan Palo Alto Networks Expedition’daki kritik bir eksik kimlik doğrulama güvenlik açığından yararlandıkları ortaya çıktı. Bu güvenlik kusuru, tehdit aktörlerinin Internet’e açık Expedition sunucularındaki uygulama yöneticisi kimlik bilgilerini sıfırlamak için bu açığı uzaktan kullanmalarına olanak sağladı.
GitHub kullanıcılarını hedef alan yeni ve gelişmiş bir kimlik avı aracı dördüncü çeyrekte de ortaya çıktı. Dünya çapındaki geliştiriciler ve kuruluşlar için önemli bir tehdit oluşturuyordu. Bunun NHI’lerle ilişkisi şu şekildedir: Botlar, API çağrıları yapmak ve bir komut dosyası kullanarak yorumlar oluşturmak için bileşenler olarak tehlikeye atılmış bir sır ve bu kimlik bilgisiyle ilişkili izinler dizisini kullandı.
Yorumlar, geliştiricileri güvenli olmayan komut dosyalarını doğrulanmış çözümler olarak kullanmaya ikna etti.
Bu komut dosyaları, kurbanları oturum açma kimlik bilgilerini, kötü amaçlı yazılım indirmelerini veya sahte OAuth uygulama yetkilendirme istemlerini çalmak için tasarlanmış kimlik avı sayfalarına yönlendirerek saldırganların özel depolara ve verilere erişmesine olanak tanıyabilir.
Nihayet, yılı dramatik bir şekilde sona erdiren NHI, ABD Hazinesi Çinli tehdit aktörleri tarafından hacklendiTeşkilatın ağlarının güvenliğini ihlal ettikten sonra “gizli olmayan belgelere” erişim elde eden kişi. Saldırganlar, yetkisiz erişim elde etmek için sızdırılmış bir API anahtarını kötüye kullanarak uzaktan teknik destek yazılımındaki güvenlik açıklarından yararlanmayı başardılar.
Yıl sonundaki NHI saldırılarının telaşı, 2025’e doğru son derece güçlü bir ivmenin olduğunu gösteriyor. Bu iyiye işaret değil.
Baş bilgi güvenliği görevlileri (CISO’lar) ve güvenlik ekiplerinin, yeni yıla girerken ortaya çıkan NHI tehditlerine öncelik vermesi gerekiyor.