Önde gelen veri kaybı önleme (DLP) çözümleri sağlayıcısı Cyberhaven, Chrome uzantısıyla ilgili önemli bir güvenlik ihlalini açıkladı.
24 Aralık 2024’te hedeflenen bir siber saldırı, yönetici hesabının güvenliğini ihlal ederek saldırganların Chrome Web Mağazası’nda kötü amaçlı bir güncelleme (sürüm 24.10.4) yayınlamasına olanak tanıdı. Güncelleme, 25 Aralık 2024’ün başlarında kullanıcılara otomatik olarak dağıtıldı.
Kötü amaçlı uzantı, saldırganların kimliği doğrulanmış oturumlar ve çerezler de dahil olmak üzere hassas kullanıcı verilerini hileli bir alana (cyberhavenext) sızdırmasına olanak sağladı.[.]profesyonel).
Süzme alanı, 25 Aralık 01:32 UTC’den 26 Aralık 02:50 UTC’ye kadar aktif kaldı ve kullanıcıların veri güvenliği açısından kritik bir risk oluşturdu.
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Cyberhaven’ın dahili güvenlik ekibi, ihlali 25 Aralık 23:54 UTC’de tespit etti ve kötü amaçlı paketi bir saat içinde kaldırdı.
Kötü amaçlı kodu kaldıran temiz bir sürüm (24.10.5) 26 Aralık’ta yayımlandı. Cyberhaven ayrıca etkilenen uç noktaların belirlenmesine yardımcı olacak telemetri özelliklerine sahip ek bir güncelleme (24.10.6) hazırlıyor.
Etki ve Öneriler
Güvenliği ihlal edilen uzantı, 24.10.4 sürümünü çalıştıran tarayıcılardan gelen hassas bilgileri açığa çıkarmış olabilir. Buna yanıt olarak Cyberhaven, etkilenen kullanıcılar için aşağıdaki önerileri yayınladı:
- Uzantıyı güncelleyin: 24.10.5 sürümüne veya daha yeni bir sürüme güncellendiğinden emin olun.
- Kimlik bilgilerini döndür: FIDOv2 tarafından korunmayan tüm şifreleri ve tüm API belirteçlerini iptal edin ve döndürün.
- Etkinlik günlüklerini inceleyin: Şüpheli etkinlik belirtileri olup olmadığını kontrol edin.
- Uzantıyı kaldırmayın: Bunu muhafaza etmek, analiz için yararlı olan adli eserlerin korunmasını sağlayabilir.
Cyberhaven, uzantının Firefox veya Edge sürümleri gibi Chrome Web Mağazası dışında barındırılan sürümlerinin etkilenmediğini doğruladı.
Cyberhaven, ihlali daha ayrıntılı bir şekilde araştırmak için federal kolluk kuvvetleri ve siber güvenlik firması Mandiant ile iletişime geçti. Şirket, şeffaflığa ve müşteri güvenine olan bağlılığını vurguladı ve şunları belirtti: “Sizden kazandığımız güveni korumak için maksimum şeffaflık temel değerlerimiz doğrultusunda hareket ediyoruz.”
Uzlaşma Göstergeleri (IOC’ler)
Secure Annex, tespit ve hafifletmeye yardımcı olmak için saldırının teknik ayrıntılarını paylaştı:
- Kötü amaçlı etki alanı: cyberhavenext[.]profesyonel
- IP’ler: 149.28.124.84, 149.248.2.160
- Kötü amaçlı komut dosyaları:
content.js(karma: AC5CC8BCC05AC27A8F189134C2E3300863B317FB),worker.js(karma: 0B871BDEE9D8302A48D6D6511228CAF67A08EC60) - CRX paketi karması: b53007dc2404dc3a4651db2756c773aa8e48c23755eba749f1641542ae796398
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin