18 yaşındaki bir bilgisayar korsanının, bir çalışanın VPN kimlik bilgilerini bir ilk erişim vektörü olarak kullanarak şirketin BT altyapısının kritik bölümlerine tam idari erişim sağladığı anlaşıldıktan sonra, Uber’in iç güvenlik uygulamaları etrafında sorular dönüyor.
Saldırganın çevrimiçi yayınladığı çok sayıda ekran görüntüsü, davetsiz misafirin, araç paylaşım devinin BT alanını neredeyse tamamen ele geçirmek için tek bir dahili sistemi ihlal etmek zorunda olmadığını gösteriyor.
Şimdiye kadar Uber, olayın ayrıntılarını şirketin şirket olduğunu söylemenin ötesinde açıklamadı. buna cevap vermek ve ihlali araştırmak için kolluk kuvvetleriyle birlikte çalışmak. Dolayısıyla, olayla ilgili bildirilenlerin en azından bir kısmı, bir New York Times gencin sosyal mühendislik yoluyla bir çalışandan alınan kimlik bilgilerini kullanarak Uber’in dahili ağlarına erişim elde ettiğini iddia ettiği 15 Eylül tarihli rapor. Saldırgan, bu erişimi Uber’in dahili etki alanında yanal olarak e-posta, bulut depolama ve kod deposu ortamları dahil olmak üzere diğer kritik sistemlere taşımak için kullandı.
O zamandan beri, Uber’de elde ettiği erişimi ve nasıl elde edildiğini doğrulamak için dahili sistemlerin çok sayıda ekran görüntüsünü yayınladı.
Ekran görüntüleri, bilgisayar korsanının Uber’in AWS, Google Cloud, VMware vSphere ve Windows ortamlarına ve ayrıca güvenlik araştırmacılarının bir hata ödül programı aracılığıyla şirkete keşfettiği ve şirkete açıkladığı platformundaki tam bir güvenlik açıkları veritabanına tam yönetim erişimi elde ettiğini gösteriyor. HackerOne tarafından yönetilmektedir. Saldırganın eriştiği dahili veriler, Uber satış ölçümlerini, Slack hakkındaki bilgileri ve hatta şirketin uç nokta algılama ve yanıt (EDR) platformundan gelen bilgileri içeriyor gibi görünüyor.
İçinde tweet dizisi Bazı güvenlik araştırmacılarının yeniden yayınladığı Twitter kullanıcısı Corben Leo, iddia edilen bilgisayar korsanından Uber’in VPN’sine erişmek ve şirketin intranetini taramak için sosyal olarak tasarlanmış kimlik bilgilerini kullandığını iddia etti. Bilgisayar korsanı, ayrıcalıklı yönetici kimlik bilgilerine sahip PowerShell komut dosyaları içeren bir Uber ağ paylaşımı bulduğunu açıkladı. Saldırgan, “PowerShell komut dosyalarından biri, Thycotic’te (PAM) bir yönetici kullanıcının kullanıcı adını ve parolasını içeriyordu. Bunu kullanarak tüm hizmetler, DA, Duo, OneLogin, AWS, GSuite için sırları çıkarabildim,” dedi saldırgan.
Şimdilik, saldırganın motivasyonları çok net değil. Normalde, oldukça açık, ancak hacker’ın şimdiye kadar yaptığı tek şey çok fazla gürültü yapmak, Uber sürücülerine daha fazla ödeme yapılması gerektiğini ve erişimi kanıtlayan ekran görüntülerini paylaşmak olduğunu kaydetti.
Yuga Labs’de ekran görüntülerini inceleyen güvenlik mühendisi Sam Curry, “Gerçekten genç ve hatta biraz özensiz görünüyorlardı. Bazı ekran görüntülerinde açık sohbet pencereleri ve bir ton meta veri vardı,” diyor.
Saf Oyun Sosyal Mühendislik
Dubai merkezli bir güvenlik hizmetleri firması olan Invincible Security Group (ISG), araştırmacılarının yönetici kimlik bilgilerinin bir listesini aldı tehdit aktörü toplamıştı. ISG, “Güçlü şifreler gibi görünüyorlar, bu da onun Uber’in dahili ağına erişmesini sağlayanın gerçekten bir sosyal mühendislik saldırısı olduğunu doğruluyor” dedi.
Curry, Dark Reading’e saldırganın, bir çalışanın oturum açma bilgilerinden ve o kişinin VPN iki faktörlü kimlik doğrulama 2FA isteminden sosyal mühendislikten ödün vererek ilk erişim elde ettiğini söylüyor.
“Bir kez VPN erişimine sahip olduklarında, ‘krallığın anahtarları’ olan ve erişimlerine izin veren bir ağ sürücüsü keşfettiler. [Uber’s] hem Google Cloud Platform’da hem de Amazon Web Servislerinde kök olarak bulut barındırma,” diye belirtiyor Curry. “Bu, muhtemelen Uber’in çalışan uygulamalarının ve bulut depolamasının çoğunluğu olan her bulut dağıtımına erişimleri olduğu anlamına geliyor.”
Önemli bir gerçek, başlangıçta güvenliği ihlal edilen çalışanın olay müdahalesinde çalıştığına dikkat çekerek, normalde bu tür çalışanların Uber ortamında ortalama çalışanlardan çok daha fazla araca erişimi olduğunu da sözlerine ekledi.
Curry, “Bu erişim düzeyine ve ayrıca PowerShell komut dosyasında buldukları erişime sahip olmak, muhtemelen Uber’de istediklerini yapmak için çok fazla sınırlamaları olmadığı anlamına gelir” diyor.
Bağımsız güvenlik araştırmacısı Bill Demirkapi, bir dizi tweet’te, saldırganın Uber’deki güvenliği ihlal edilmiş hesaba sürekli MFA erişimi elde ettiğini, “kurbanı sosyal olarak mühendislik yoluyla saldırganın kendi cihazını MFA için kaydettirmesine izin veren bir istemi kabul etmesi için” elde ettiğini söyledi.
“Saldırganların bir IR ekip üyesinin hesabını ele geçirmiş gibi görünmesi endişe verici” Demirkapı tweetledi. “EDR’ler, IR ekiplerinin çalışan makinelerine (etkinleştirilmişse) ‘gömme’ yapmasına izin vermek gibi IR için ‘arka kapılar’da çalışabilir ve potansiyel olarak saldırganın erişimini genişletebilir.”
Hata Ödülü Veri Erişimi “Sorunlu”
Güvenlik uzmanları, saldırganın hata ödül programı aracılığıyla sunulan Uber güvenlik açığı verilerine erişim elde etmesinin de sorunlu olduğunu söylüyor.
Curry, bilgisayar korsanının Uber’in şirketin hata ödül biletlerinde saldırıya uğradığı hakkında bir yorum yayınladıktan sonra erişimi öğrendiğini söyledi. Curry daha önce Uber’e, istismar edildiğinde kod depolarına erişime izin verecek bir güvenlik açığı keşfetmiş ve sunmuştu. Bu hata giderildi, ancak şirkete açıklanan diğer güvenlik açıklarından kaçının düzeltildiği, kaçının yama uygulanmadığı ve bu güvenlik açıklarından yararlanılması durumunda hangi düzeyde erişim sağlayabileceği açık değil. Bilgisayar korsanı güvenlik açığı verilerini başkalarına satarsa durum daha da kötüleşebilir.
Solvo CEO’su Shira Shamban, “Hata ödül programları, olgun güvenlik programlarında önemli bir katmandır” diyor. “Buradaki ana çıkarım, bilgisayar korsanının artık Uber BT ortamındaki diğer güvenlik açıklarını bilmesi ve bunları ileride kullanmak üzere arka kapılar oluşturmak için kullanabilmesidir, bu da rahatsız edici.”
Perimeter 81 CEO’su ve kurucu ortağı Amit Bareket, şirketlerin güvenlik duruşlarını daha iyi değerlendirmelerini ve iyileştirmelerini sağlamak için güvenlik açığı ve kalem testi araçlarının önemli olduğunu söylüyor. “Ancak, doğru güvenlik önlemleri alınmazsa, bu araçlar kötü aktörlerin içerebilecekleri hassas bilgilerden yararlanmalarını sağlayan çift taraflı kılıçlara dönüşebilir” diyor.
Bareket, şirketlerin bunun farkında olması ve kötü niyetli amaçlarla kötüye kullanılmaması için bu tür raporların korunduğundan ve şifreli biçimde saklandığından emin olması gerektiğini belirtiyor.
En son olayın, Uber’in güvenlik konusunda zaten biraz kötü olan itibarını iyileştirmek için pek bir şey yapması olası değil. Ekim 2016’da şirket, 57 milyon sürücü hakkında hassas bilgileri açığa çıkaran bir veri ihlali yaşadı. Ancak, gerektiği gibi ihlali ifşa etmek yerine, şirket, ihlalleri ödeme girişimi olarak görülen güvenlik araştırmacılarına 100.000 dolar ödedi. 2018 yılında şirket, olayla ilgili 148 milyon dolarlık bir dava açtı. İngiltere ve Hollanda’daki olaylarla ilgili davalarda benzer ancak çok daha küçük anlaşmalara vardı.