Bulut Güvenliği , Güvenlik İşlemleri
Şirket, Hacker’ın Erişim Sağladığını, Veri Enjeksiyonu Gerçekleştirdiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
15 Temmuz 2023
Kurumsal yazılım firması JumpCloud, geçen hafta bazı müşterilerini hedef alan bir güvenlik olayının arkasında gelişmiş bir ulus-devlet tehdit aktörünün olduğunu söyledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Kullanıcıları, cihazları ve uygulamaları doğrulayan, yetkilendiren ve yöneten sıfır güvene sahip bir dizin platformu işleten şirket, JumpCloud’un tüm API anahtarlarını sıfırlayarak Cars.com ve GoFundMe dahil binlerce müşteriyi potansiyel olarak etkiliyor.
Salt Security’de saha CTO’su Nick Rago, API anahtarı sıfırlamanın işlemleri, yönetimi ve tek oturum açma, MFA, parola yönetimi, cihaz yönetimi ve Jumpcloud platformuyla ilgili daha fazlasını etkileyebileceğini söyledi.
Rago, “Binlerce kuruluş bu kritik hizmetlerin yönetimi için bu platforma güvendiğinden, müşteri üzerindeki etkisi çok ciddi” dedi.
Şirket, adı açıklanmayan ulus devlet aktörünün Jumpcloud sistemlerine yetkisiz erişim elde ettiğini ve 27 Haziran’da küçük ve belirli bir müşteri grubunu hedef aldığını söyledi.
JumpCloud’un baş bilgi güvenliği sorumlusu Bob Phan, “Dahili bir orkestrasyon sisteminde, 22 Haziran’da tehdit aktörü tarafından gerçekleştirilen gelişmiş bir mızrakla kimlik avı kampanyasına kadar izini sürdüğümüz anormal bir etkinlik keşfettik” dedi. altyapımızın belirli bir alanı,”
JumpCloud, 5 Temmuz’da küçük bir müşteri grubu için komut çerçevesinde olağan dışı bir etkinlik keşfetti ve “tüm yönetici API anahtarlarının zorunlu rotasyonunu” gerçekleştirdi. JumpCloud, saldırı için saldırı vektörünü hafiflettiğini ve etkilenen müşterileri bilgilendirdiğini ve onlarla birlikte çalıştığını söyledi. Firma ayrıca olay müdahale planını etkinleştirdi ve sistemlerini ve müşterilerinin operasyonlarını güvenli hale getirmek için tasarladığı soruşturma ve adımlar hakkında kolluk kuvvetlerine bilgi verdi.
Şirket, “Çok fazla ihtiyat nedeniyle kimlik bilgilerini değiştirdik, altyapıyı yeniden oluşturduk ve ağımızı ve çevremizi daha da güvenli hale getirmek için bir dizi başka eylemde bulunduk” dedi. “Devam eden analiz, saldırı vektörünü ortaya çıkardı: komut çerçevemize veri enjeksiyonu. Analiz, saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğuna dair şüpheleri de doğruladı.”
Phan, bu sofistike ve inatçı düşmanların gelişmiş yeteneklere sahip olduğunu, bu nedenle savunucuların bilgi paylaşması ve işbirliği yapması gerektiğini ekledi.
Phan, “Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tehdide ilişkin bilgileri paylaşmak için hükümet ve endüstri ortaklarımızla yakın bir şekilde çalışacağız” dedi.
Bir tehdit aktörü bir API anahtarına erişim kazandığında, bir kuruluş için anahtar dizini ve kimlik hizmetlerinin yönetimini ve yapılandırmasını tehlikeye atabilir. Birçok şirket, önemli kritik altyapıyı ve iş odaklı hizmetleri her gün yönetmek için bulut tabanlı hizmet sağlayıcı API’lerine güveniyor.
“Bu olay, kuruluşların bulut hizmeti sağlayıcılarından, ayrıcalıklı bir API anahtarına eriştiğinde bir rakibin zarar verme riskini sınırlamak için sınırlı bir konum beyaz listesinden hesaplarına API erişimini kilitleme seçeneği istemeleri gerektiğini hatırlatıyor.” Rago dedi.
JumpCloud, Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance ve Foursquare dahil olmak üzere 5.000’den fazla ödeme yapan müşterisiyle 200.000’den fazla kuruluştan oluşan küresel bir kullanıcı tabanına sahiptir. Sapphire Ventures, General Atlantic, Sands Capital, Atlassian ve CrowdStrike gibi birinci sınıf yatırımcılardan 400 milyon doların üzerinde para topladı.
Nisan ayında JumpCloud, işletmelerin güvenliklerini ve hibrit iş güçlerini yönetme biçimlerini güçlendirmek için Google Workspace’i JumpCloud tarafından sağlanan açık dizin platformuyla birleştirmelerini sağlayan yeni bir ortak teklif için Google Cloud ile ortaklık kurduğunu duyurdu.