Şirket, bir mızrakla kimlik avı saldırısının, adı açıklanmayan bir ulus-devlet destekli bir tehdit aktörünün JumpCloud’un sistemlerine izinsiz girmesine ve geçen ay belirli müşterileri hedef almasına izin verdiğini söyledi. çarşamba bir güvenlik olayı güncellemesi.
Kimlik ve erişim yönetimi sağlayıcısı, tehdidin ortadan kaldırıldığını ve tehdit aktörü tarafından “küçük ve belirli bir müşteri grubunu hedeflemek” için kullanılan saldırı vektörünün hafifletildiğini iddia ediyor.
JumpCloud, müşteri erişim kimlik bilgilerinin çalınıp çalınmadığını veya kaç müşterinin etkilendiğini söylemedi. Şirket, yorum talebine yanıt vermedi.
“Bunlar gelişmiş yeteneklere sahip sofistike ve ısrarcı düşmanlar” JumpCloud CISO Bob Phan olay raporunda söyledi.
JumpCloud, müşteri etkisine dair kanıtları ilk olarak 5 Temmuz’da şirketin geçersiz kıldığı ve tüm yöneticiler için API anahtarlarını sıfırlayın Phan, araştırmasının bazı müşterilerin komut çerçevesinde daha fazla kötü niyetli etkinlik ortaya çıkardığını söyledi.
BT hizmetlerine uygulama ve kullanıcı erişimini doğrulamak için tanımlayıcı görevi gören API anahtarlarının aniden sıfırlanması, müşterilerin tüm üçüncü taraf entegrasyonlarını yeni oluşturulan anahtarlarla güncellemesini gerektirdi.
JumpCloud, çok dizinli yönetim, kimlik ve erişim yönetimi, çok faktörlü kimlik doğrulama, çoklu oturum açma ve çeşitli üçüncü taraf hizmetleriyle entegrasyon sağlar. Louisville, Colorado merkezli şirket, bulut dizin platformunun 180.000’den fazla kuruluş tarafından kullanılıyor en az 160 ülkede.
JumpCloud, ilk olarak 27 Haziran’da dahili bir orkestrasyon sisteminde anormal bir etkinlik keşfettiğini ve bunu 22 Haziran’daki bir mızraklı kimlik avı saldırısıyla ilişkilendirdiğini söyledi. ağının ve çevresinin güvenliğini artırmak için adımlar atıyor.
Şirket, olay müdahale firmasıyla görüştüğünü ve o sırada kolluk kuvvetleriyle temasa geçtiğini söyledi.
İzinsiz giriş ile teyit edilen müşteri etkisi arasındaki boşluk, tehdit aktörünün JumpCloud’un sistemlerine neredeyse iki hafta boyunca erişebildiğini gösteriyor.
Devam eden analiz, saldırı vektörünü ortaya çıkardı: komut çerçevemize veri enjeksiyonu. Analiz, saldırının son derece hedefli olduğunu ve belirli müşterilerle sınırlı olduğunu da doğruladı” dedi.
JumpCloud da bilinenleri paylaştı uzlaşma göstergeleri müşterilerin kötü amaçlı etkinlik aramasına yardımcı olmak için.