Dalış Özeti:
- Bulut tabanlı veri ambarı satıcısı Cuma günü yaptığı açıklamada, Snowflake’in kurumsal müşterilerini hedef alan bir dizi saldırının sürdüğünü söyledi. CrowdStrike ve Mandiant, saldırılarla ilgili devam eden soruşturmaya yardımcı oluyor.
- Snowflake CISO’su Brad Jones Cumartesi günü güncellenmiş bir açıklamasında “Bu aktivitenin bir güvenlik açığından, yanlış yapılandırmadan veya Snowflake platformunun ihlalinden kaynaklandığını gösteren bir kanıt tespit edemedik” dedi. şirketin topluluk forumunda yayınlayın. Şirket, “23 Mayıs’ta belirli müşteri hesaplarına yetkisiz erişim potansiyelinin farkına vardığını” ve o tarihten bu yana Nisan ortasına kadar devam eden tehdit faaliyetlerini gözlemlediğini söyledi.
- Mandiant Consulting CTO’su Charles Carmakal, Mandiant’ın birkaç hafta önce kuruluşların Snowflake veritabanlarındaki tehlikeleri araştırmasına yardım etmeye başladığını söyledi. Carmakal, Cybersecurity Dive’a yaptığı açıklamada, “Bugüne kadar yaptığımız araştırmalara göre, bir tehdit aktörü, bilgi hırsızlığı yapan kötü amaçlı yazılım tarafından çalınan kimlik bilgilerini kullanarak birden fazla kuruluşun Snowflake kiracılarına erişim elde etmiş olabilir” dedi.
Dalış Bilgisi:
Snowflake ortamlarıyla bağlantılı saldırıların yoğunluğu, işletmelerin iş operasyonları için güvendikleri bulut hizmetleri ağında karşılaştıkları potansiyel güvenlik tuzaklarının altını çiziyor.
Şirket, kaç müşterinin ele geçirildiğini söylemeyi reddetti ancak “etkilenmiş olabileceğine inandığı sınırlı sayıdaki Snowflake müşterisini derhal bilgilendirdiğini” söyledi. Snowflake’in Küresel Kurumsal İletişim Lideri Danica Stanczak daha fazla yorum yapmayı reddetti.
Siber otoriteler ve araştırmacılar, Snowflake müşteri ortamlarına yönelik hedefli saldırıların birçok büyük şirketi tehlikeye atabileceği konusunda uyarıyor.
Avustralya Sinyaller Müdürlüğü bir bildiri yayınladı. yüksek uyarı tavsiyesi Cumartesi günü “Snowflake müşteri ortamlarıyla ilgili artan siber tehdit faaliyetleri” hakkında. Siber Güvenlik ve Altyapı Güvenliği Ajansı, Snowflake’e bir soruşturma gönderdi.
Yetersiz kimlik ve erişim kontrolleri, Snowflake müşteri veritabanlarının ele geçirilmesinin temelinde yatıyordu.
Carmakal, “İzinsiz girişlerin çoğu, kuruluşların Snowflake veritabanlarını çok faktörlü kimlik doğrulama gerektirmeden yapılandırmasının sonucuydu” dedi. “Tehdit aktörleri, bilgi hırsızlığı yapan kötü amaçlı yazılımlar tarafından çalınan kurumsal kimlik bilgilerini fırsatçı bir şekilde arar ve bunları işletmelerin güvenliğini tehlikeye atmak, verileri çalmak, fidye yazılımı dağıtmak ve çok yönlü gasp gerçekleştirmek için kullanır.”
Snowflake, kötü niyetli faaliyetin mevcut veya eski çalışanların kimlik bilgilerinin ele geçirilmesinden kaynaklandığına dair hiçbir kanıt bulunmadığını söyledi.
Snowflake, bir tehdit aktörünün eski bir Snowflake çalışanına ait kişisel kimlik bilgilerini ele geçirdiğini ve ona ait demo hesaplara eriştiğini söyledi. Soruşturmada “hassas veriler içermiyordu” tespit edildi.
Soruşturmaya göre Snowflake’in üretim veya kurumsal sistemlerine bağlı olmayan demo hesabı, Okta tek oturum açma veya çok faktörlü kimlik doğrulama ile korunmuyordu.
Snowflake ve olay müdahale firmaları CrowdStrike ve Mandiant, ön bulgularına ilişkin ortak gönderide, “Bu, tek faktörlü kimlik doğrulamaya sahip kullanıcılara yönelik hedefli bir kampanya gibi görünüyor” dedi.
Carmakal, “Çok faktörlü kimlik doğrulama olmadan yapılandırılmış herhangi bir SaaS çözümü, tehdit aktörleri tarafından toplu olarak istismar edilmeye açıktır” dedi. “Tehdit aktörlerinin bu kampanyayı hassas kurumsal veriler içeren diğer SaaS çözümlerinde tekrarlayacağını tahmin ediyoruz.”
Tehdit tespit ve olay müdahale firması Mitiga’daki araştırmacılar, tehdit faaliyetinin ticari VPN IP adreslerinden kaynaklandığını ve saldırganların kuruluşlara doğrudan şantaj yaptığını ve çalınan verileri karanlık ağda halka açık olarak satışa sunarak mağdurlara daha fazla baskı uyguladığını söyledi. Cuma blog yazısı.
Snowflake, saldırıyla ilgili ayrıntıları kendi blogunda yayınlamadı ancak topluluk forumu gönderisinin bağlantısını paylaştı. sosyal platform X. Şirket, kuruluşlara tüm hesaplarda çok faktörlü kimlik doğrulamayı derhal zorunlu kılmalarını ve yetkili kullanım ve güvenilir konumlardan gelen trafiği sağlamak için ağ politikası kuralları oluşturmalarını tavsiye etti.
Şirket, “Etkilenen kuruluşların Snowflake kimlik bilgilerini sıfırlaması ve döndürmesi gerekiyor” dedi.
Kar tanesi de sağlandı uzlaşma göstergeleri ve önerilen ek eylemler şirketlerin Snowflake müşteri hesaplarındaki potansiyel tehdit faaliyetlerini araştırması için.