Palo Alto Networks ve Veri İhlali
Palo Alto Networks, geçtiğimiz günlerde veri ihlali ile karşı karşıya kaldı. Bu ihlal sonucunda, müşteri verilerinin yanı sıra destek dosyaları da ifşa edildi. Saldırganlar, Salesloft Drift ihlalinden elde ettikleri OAuth token‘larını kullanarak Palo Alto Networks’ün Salesforce instance’ına erişim sağladı. Şirket, bu olayın birçok şirketi etkileyen bir tedarik zinciri saldırısı olduğunu belirtti.
Şirketin açıkladığına göre, bu ihlal yalnızca Salesforce CRM’i etkiledi ve diğer ürünler, sistemler veya hizmetler üzerinde herhangi bir olumsuz etkisi bulunmadı. Müşterilerini bilgilendiren Palo Alto Networks, ihlali hızlı bir şekilde kontrol altına aldıklarını ve uygulamanın Salesforce ortamından devre dışı bırakıldığını duyurdu.
Veri İhlalinin Detayları
BleepingComputer ile paylaşılan bilgilere göre, Palo Alto Networks, bu olayın yalnızca müşteri iletişim bilgileri ve metin yorumları içeren destek dosyası verilerini etkilediğini belirtti. Ancak, teknik destek dosyaları veya ekleri içermediği vurgulandı. Saldırganların hedefinde, daha çok iş iletişim bilgileri ve iç satış hesap kayıtları bulundu.
Google’ın Tehdit İstihbarat ekibi tarafından izlenen saldırı, UNC6395 olarak adlandırıldı. Bu kampanya, destek dosyalarını hedef alarak, kimlik doğrulama tokenları, parolalar ve bulut sırları gibi hassas verilerin elde edilmesini amaçlıyordu. Palo Alto Networks, tehdit aktörlerinin birçok Salesforce nesnesinden veri sızdırma işlemi gerçekleştirdiğini vurguladı. Özellikle Hesap, İletişim, Olay ve Fırsat kayıtları üzerinde yoğunlaştıkları belirtildi.
Palo Alto Networks, saldırganların elde ettikleri veriler arasında AWS erişim anahtarları, Snowflake tokenları, VPN ve SSO giriş dizeleri gibi hassas bilgiler olduğunu bildirdi. Ayrıca, “parola”, “gizli” veya “anahtar” gibi terimlerin aranarak daha fazla bulut platformuna erişim sağlanmaya çalışıldığı ifade edildi.
Saldırıların Yapısı ve Yöntemleri
Saldırganların kullandığı otomatik araçlar, verileri sızdırmak için özel olarak hazırlanmış Python araçları içeriyor. Bu araçların kullanıldığına dair kullanıcı ajanı dizeleri kaydedildi. Aynı zamanda, saldırganların kayıtları silerek izlerini gizlemeye çalıştıkları ve Tor kullanarak kökenlerini belirsizleştirdikleri tespit edildi.
Palo Alto Networks, olay sonrasında ilgili tokenları iptal etti ve şifreleri yeniledi. Şirket, Salesloft Drift müşterilerine bu durumu ciddiyetle ele almaları gerektiğini belirttiği bazı önemli önerilerde bulundu. Bu öneriler arasında Salesforce, kimlik sağlayıcı ve ağ kayıtlarını incelemek, Drift entegrasyonlarını gözden geçirmek ve kimlik doğrulama anahtarlarını ve gizli bilgileri yenilemek, yer alıyor.
Geçmişteki Veri Hırsızlığı Olayları
Son zamanlarda Salesforce, ShinyHunters fidye grubuyla ilişkilendirilen veri hırsızlığı saldırılarına maruz kaldı. Önceki saldırılarda, tehdit aktörlerinin sesli kimlik avı (vishing) yöntemlerini kullanarak çalışanları kandırdığı ve kötü amaçlı OAuth uygulamaları ile şirketin Salesforce instance’larına bağlantı sağlamalarına yol açtığı biliniyor. Bu tür olaylar, birçok şirketi etkileyen geniş çaplı bir sorunu gözler önüne seriyor.
Geçtiğimiz yıl çeşitli şirketlere yapılan saldırılar arasında Google, Cisco, Farmers Insurance, Workday, Adidas ve birçok başka büyük firma bulunuyor. Bu olayların bazıları, daha önceden bilinen sosyal mühendislik saldırılarına dayanıyor. Ancak, Palo Alto Networks ve Google, Salesloft tedarik zinciri saldırılarında yer alan tehdit aktörlerinin aynı kişiler olup olmadığı konusunda kesin bir kanıta ulaşamadıklarını bildiriyor.
Sonuç Olarak
Palo Alto Networks’ün başına gelen bu olay, siber saldırıların ne denli yaygın hale geldiğini ve tedarik zinciri güvenliğinin önemini bir kez daha ortaya koydu. İşletmelerin güvenlik önlemlerini güncellemeleri, eğitim programları düzenlemeleri ve olası ihlalleri anında raporlamaları gerekmektedir. Bu tür saldırılara karşı en iyi savunma, önleyici tedbirler almak ve güvenlik altyapısını sürekli olarak gözden geçirmektir.
