Devasa Okta veri ihlalinin etkisi devam ediyor ve bilgisayar korsanları için fırsatçı bir alan sağlamaya devam ediyor. İnternet altyapısı ve güvenliğinde öne çıkan oyunculardan biri olan Cloudflare, bir siber saldırıya kurban gittiği için şimdi de sonuçlarıyla karşı karşıya.
2 Şubat 2024’te şirket, devlet destekli tehdit aktörleri olduğundan şüphelenilen kişilerin çalıntı Okta kimlik bilgilerini kullanarak Cloudflare’in savunmasını başarılı bir şekilde ihlal ettiğini açıkladı.
Güvenlik ekibi tehdidi başarılı bir şekilde önleyip hassas verileri açığa çıkmaktan korurken, Cloudflare siber saldırısı iki önemli noktayı vurguluyor: birincisi, hiç kimsenin bağışık olmadığı ve ikinci olarak, yayılmayı kontrol altına alma ve önleme konusunda dirençli bir savunma sisteminin etkinliğini vurguluyor bir saldırının.
Bu kapsamlı analiz, Cloudflare siber saldırısının teknik inceliklerine daha derin bir bakış sunarak tehdit aktörlerinin kullandığı stratejik manevraları ortaya çıkarıyor.
Cloudflare’in Atlassian ortamına sızma girişimlerine rağmen, hızlı yanıtlar, ele geçirilen hesapların sonlandırılması ve adli tıp ekibiyle iş birliği, müşteri verileri üzerinde minimum etkiyi garantiledi.
Cloudflare Siber Saldırısının Kodunu Çözmek: İzinsiz Girişin Teknik Tarafı
Cloudflare siber saldırısı Bu girişim ilk olarak tehdit aktörünün Atlassian hesapları oluşturmaya başlamasıyla başladı. Sliver Adversary Emulation Framework’e kalıcı erişim ve kurulum. İzinsiz giriş yapılmasına ve 120 depoya sahip, çalışmayan konsol sunucusuna erişime rağmen veri yok Saldırı sırasında sızma meydana geldi.
Cloudflare’in 23 Kasım’da Smartsheet hizmet hesabını sonlandırıp bir kullanıcı hesabı oluşturarak verdiği yanıtın çok önemli bir gelişme olduğu ortaya çıktı. Güvenlik duvarı kurallarının uygulanması, 24 Kasım’da çerçevenin kaldırılması ve güvenlik altyapısından yararlanılması, tehdit aktörlerinin girişimlerini durdurdu. Daha da önemlisi, Atlassian süitinin ötesine erişime işaret eden hiçbir kanıt yok.
Cloudflare’e yapılan bu siber saldırıya yanıt olarak Amerikan BT şirketi, 24 Kasım’da 5.000’den fazla kimlik bilgisini döndürerek ve yaklaşık 5.000 sistemi tetikleyerek güvenlik geliştirmeleri başlattı.
2 Şubat’ta paylaşılan bir blog yazısında Cloudflare, bu siber saldırıdan hiçbir müşterinin verilerinin zarar görmediği sonucuna vardı. “Müşterilerimize hiçbir Cloudflare müşteri verisinin veya sisteminin bu olaydan etkilenmediğini vurgulamak istiyoruz. Blog gönderisinde, erişim kontrollerimiz, güvenlik duvarı kurallarımız ve kendi Sıfır Güven araçlarımızı kullanarak uyguladığımız sert güvenlik anahtarlarının kullanımı nedeniyle, tehdit aktörünün yana doğru hareket etme yeteneğinin sınırlı olduğu belirtiliyor.
Okta Veri İhlali Bağlantısı
Siber saldırının kökeni, Ekim ayında Okta’nın ele geçirilmesine kadar uzanabilir ve bu durum, gelişmiş bir ulus devlet aktörünün Kasım ayı ortasında Cloudflare’e saldırı başlatmasına zemin hazırlar.
Tehdit aktörünün 14-17 Kasım tarihleri arasındaki titiz keşifleri, Cloudflare’in dahili wiki’sine ve hata veritabanına yetkisiz erişimi içeriyordu. Okta ihlali nedeniyle çalınan kimlik bilgilerinden yararlanan tehdit aktörü, 22 Kasım’da kalıcı erişim sağladı.
Ekim 2023’te açıklanan Okta güvenlik olayının ardından Okta Security, ilk analizini yeniden gözden geçirerek müşteri güvenliğini etkileyebilecek yeni ayrıntıları ortaya çıkardı.
İhlalden sorumlu olan tehdit aktörü, 28 Eylül 2023’te tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini içeren bir rapor yayınladı. Hiçbir hassas kişisel veri veya kullanıcı kimlik bilgisi ifşa edilmese de Okta müşterilerini hedef alan kimlik avı ve sosyal mühendislik saldırıları riski artıyor.
Okta Güvenlik Müdürü David Bradbury, kuruluşun çevrimiçi tehditlerle mücadele etme ve siber güvenlik zorlukları karşısında müşterileri koruma konusundaki kararlılığını vurguladı. Ancak ihlalde hiçbir hassas veri sızdırılmamasına rağmen tehdit aktörü sosyal mühendislik yoluyla yeni kurbanlara saldırmaya çoktan başlamıştı.
Cloudflare siber saldırısı, Okta ihlalinin doğrudan bir ürünüydü. 24 Kasım’da hem Cloudflare’in güvenlik ekibi hem de CrowdStrike’ın Adli Tıp ekibi, ulus devlet tehdit aktörlerine yönelik bir soruşturma başlattı. Olayın kapsamlı bir şekilde anlaşılmasını sağlamak için ekstra bir inceleme katmanı eklemek.
Güvenlik Önlemleri ve İşbirlikçi Çabalar: Kırmızı Kod Projesi
Tehdit aktörünün Cloudflare’e yönelik siber saldırı girişimine rağmen şirketin müthiş güvenlik altyapısı sağlam kaldı. Cloudflare’in erişim kontrollerinin, güvenlik duvarı kurallarının ve Sıfır Güven çerçevesindeki sabit güvenlik anahtarlarının kullanımının etkinliğini vurgulayan hiçbir müşteri verisi veya hizmeti tehlikeye atılmamıştır. CrowdStrike ile yapılan işbirliği yalnızca doğrulama sağlamakla kalmadı, aynı zamanda siber tehditlere karşı çok yönlü yanıtların önemini de örneklendirdi.
“Kırmızı Kod” İyileştirme Projesinin 27 Kasım’da başlatılması, Cloudflare’in müdahalesinde kritik bir aşamaya işaret ediyordu. Teknik personelin önemli bir bölümünü kapsayan bu girişim, ortamdaki kontrollerin güçlendirilmesine odaklandı. Tehdit aktörüne erişimin tamamen reddedilmesini sağlamak için 5.000’den fazla üretim kimlik bilgisi rotasyona tabi tutuldu ve yaklaşık 4.900 sistemde adli önceliklendirme gerçekleştirildi.
Tehdit aktörünün birincil hedefi, belgelere ve sınırlı miktarda kaynak koduna erişim elde ettikleri Cloudflare’in Atlassian ortamıydı. Özellikle Brezilya’nın São Paulo veri merkezindeki bir konsol sunucusuna erişme girişimleri engellendi ve Cloudflare’in zorunlu olmayan ACL’lerinin etkinliği ortaya çıktı.
76 kaynak kodu deposunun derinlemesine incelenmesi, tehdit aktörünün ağ yapılandırması, kimlik yönetimi ve Cloudflare’in Terraform ve Kubernetes kullanımına odaklandığını ortaya çıkardı. Bu depoların titizlikle incelenmesi, Cloudflare’in ağ operasyonlarına ilişkin teknik bilgilerin potansiyel olarak istismar edilmesini önlemeyi amaçlayan “Kırmızı Kod” çalışmasının önemli bir bölümünü oluşturdu.
Sonuç ve Sürekli Dikkat
Ulus devlet destekli Cloudflare siber saldırısının ardından Amerikan şirketi, özellikle Şükran Günü tatili sırasında hızlı yanıt verdikleri için ekip üyelerine şükranlarını sunuyor. “Kırmızı Kod” çalışmasının 5 Ocak’ta sonuçlanması, Cloudflare sistemlerinin güvenliğinin sağlanmasında önemli bir kilometre taşı anlamına geliyor.
Ancak şirket, kimlik bilgileri yönetimi, yazılım güçlendirme, güvenlik açığı yönetimi ve gelişmiş uyarı yetenekleri konularında devam eden çalışmalara aktif olarak katılarak ihtiyatlı olmaya devam ediyor. Cloudflare, diğer kuruluşların tehdit aktörünün sistemlerine erişip erişmediğini doğrulamasına yardımcı olmak için, Tehlike Göstergelerini (IOC’ler) paylaştı.
Bunlar, birincil tehdit aktörünün altyapısıyla ilişkili IP adreslerini ve dosya karmalarını içerir. Özellikle Okta ihlalinden etkilenen kuruluşlar, güvenlik önlemlerini güçlendirmek ve tehdit aktörünün sistemlerinde bulunmamasını sağlamak için bu IOC’lerden yararlanabilir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.