BENGALURU, 13 Aralık 2022 — CloudSEK’teki araştırmacılar, Atlassian ürünleri – Jira, Confluence ve BitBucket için, çerez geçerliliği 30 gün olduğundan, 2FA (İki Faktörlü Kimlik Doğrulama) etkinleştirildiğinde, şifre değiştirilse bile çerezlerin geçersiz olmadığını gözlemledi. Yalnızca kullanıcı oturumu kapattığında veya 30 gün sonra sona erer.
CloudSEK araştırmacıları, bu kusurun tehdit aktörleri tarafından yüzlerce şirketin Jira hesaplarını ele geçirmek için kullanılabileceğini belirledi. Kayıtlarımız, dark web pazaryerlerinde satışa sunulan 1.282.859’dan fazla ele geçirilmiş bilgisayar ve 16.201 Jira tanımlama bilgisi gösteriyor. Ve sadece son 30 gün içinde, güvenliği ihlal edilmiş 2.937’den fazla bilgisayar ve 246 Jira kimlik bilgisi kullanıma sunuldu. Son 90 gün içinde, bir Fortune 1000 şirketinden en az bir bilgisayarın ele geçirildiğini gözlemledik. Bu, yan kuruluşlarını değil, yalnızca birincil alanlarını dikkate alıyor. (Tüm blogu kontrol edin)
Yeni bulgu, 06 Aralık 2022’den sonra geldi. BulutSEK ifşa bir şirkete yönelik siber saldırı. Olayın temel nedenine ilişkin soruşturma sırasında, dahili soruşturma ekibi, tehdit aktörünün dark web’de satılan hırsız günlüklerinde bulunan Jira oturum tanımlama bilgilerini kullanarak bir CloudSEK çalışanının Jira hesabına erişim elde ettiğini belirledi.
CloudSEK bir yayınlıyor ücretsiz araç Bu, şirketlerin güvenliği ihlal edilmiş bilgisayarlarının ve Jira hesaplarının dark web pazar yerlerinde reklamının yapılıp yapılmadığını kontrol etmelerini sağlar.
Fortune 500 şirketlerinin %83’ü dahil olmak üzere 180.000 şirkette 10 milyondan fazla kullanıcısı olan Atlassian ürünleri dünya genelinde yaygın olarak kullanılmaktadır. Ve tehdit aktörleri, kurumsal Jira hesaplarını tehlikeye atmak için bu kusurdan aktif olarak yararlanıyor.
Çalınan Atlassian Çerezleri, 2FA etkin olsa bile Hesaba Yetkisiz Erişime Yol Açabilir
CloudSEK’in araştırması, Atlassian ürünlerine ait çerezlerin, şifre değiştirilse ve 2FA etkinleştirilse bile 30 gün süreyle geçerli kaldığını gösteriyor. Bu nedenle tehdit aktörleri, Çok Faktörlü Kimlik Doğrulama (MFA), OTP/PIN’e erişimleri olmasa bile çalınan çerezleri kullanarak Jira, Confluence, Trello veya BitBucket oturumlarını geri yükleyebilir. Tanımlama bilgileri, varsayılan olarak, kullanıcı oturumu kapattığında veya 30 gün sonra sona erer.(Tüm blogu kontrol edin)
Bu bilinen bir sorundur ve çoğu şirket bunu güvenlik raporlaması kapsamına almaz, çünkü bunu kullanmak ve sistemlere girmek için token gerekir.
Ancak artık tehdit aktörlerinin bu tokenları ele geçirmesi çok da zor değil. Cihazları tehlikeye atan kampanyalar, ihlaller ve şifre sızıntılarındaki artışla birlikte çerez hırsızlığı olağan hale geldi. Çerezler satışa hazırdır ve bir şirket aranabilir, günlükleri satın alınabilir, dahili sistemlerine erişmek için ilgili belirteçler bulunabilir. Son 30 gün içinde 200’den fazla benzersiz atlassian.net ilgili kimlik bilgileri/çerezler darkweb pazaryerlerinde satışa sunulmuştur. Kimlik bilgilerinin son 30 gün içinde satışa çıkarıldığı göz önüne alındığında, birçoğunun hala aktif olması kuvvetle muhtemeldir.
Atlassian ürünleri söz konusu olduğunda, bir oturumu ele geçirmek için yalnızca bir JSON web belirteci (JWT) gerekir;cloud.session.token. Atlassian JWT (JSON Web Token) belirteçleri, tanımlama bilgisine katıştırılmış e-posta adresine sahiptir. Böylece çerezin hangi kullanıcıya ait olduğunu belirlemek kolaydır.
Kuruluşunuzun verilerinin dark web pazar yerlerinde satışa sunulup sunulmadığını kontrol edebilirsiniz. burada.