Giriş
Klue, son zamanlarda bir güvenlik olayını doğrulayarak, tehdit aktörlerinin müşterilerinin Salesforce ortamlarına bağlanmak için kullandıkları OAuth tokenlarını çaldığını açıkladı. Bu saldırı, “Icarus” isimli yeni bir fidye grubu tarafından gerçekleştirildiği iddia edilmektedir.
Saldırı Nasıl Çalışıyor?
Bu olay, siber güvenlik firmaları Huntress ve ReliaQuest tarafından detaylandırılmıştır. Saldırganlar, Klue’nun Battlecards entegrasyonlarını kötüye kullanarak birden fazla organizasyondan Salesforce CRM verilerini çaldı. Klue CEO’su Jason Smith, 12 Haziran’da şirketin entegrasyon alt yapısında yetkisiz bir aktivite tespit ettiklerini belirtti.
Etkilenen Sistemler
Saldırgan, eski bir entegrasyon hizmetine ait bir kimlik bilgisi aracılığıyla sisteme erişim sağlayarak, Klue ile bazı üçüncü taraf platformlar (özellikle Salesforce) arasındaki OAuth tokenlarını elde etti. Bu süreçte aşağıdaki sistemler etkilenmiştir:
- Klue Battlecards Entegrasyonları
- Salesforce CRM
- Birçok müşteri ortamı
Klue, olayın yalnızca üçüncü taraf entegrasyonlarıyla sınırlı olduğunu ve doğrudan Klue platformunda depolanan müşteri içeriklerinin etkilenmediğini belirtti.
Çözüm ve Korunma
Klue, olayın ardından etkilenmiş kimlik bilgilerini ve tokenları iptal ederek, yetkisiz kodları kaldırdı ve etkilenen entegrasyonları devre dışı bıraktı. Ayrıca, CrowdStrike ile iş birliği yaparak olayı araştırmaya ve güvenlik önlemlerini artırmaya başladı. ReliaQuest ve Huntress, saldırganların çalınan OAuth kimlik bilgileri aracılığıyla Klue entegrasyonlarından Salesforce ortamlarına erişim sağladıklarını belirtti.
Icarus Grubu Sorumluluğu Üstlendi
BleepingComputer ve Huntress, olayı önceki raporlarında Icarus fidye operasyonuna bağlamıştı. Tehdit aktörleri, bu saldırının sorumluluğunu üstlenerek, Klue ile bağlantılı diğer şirketlerin Salesforce hesaplarının da hedef alındığını belirttiler. Saldırganlar, Klue ve etkilenen organizasyonları, çalınan verilerin ifşa edilmesini önlemek amacıyla iletişime geçmeye zorladılar.
Diğer kurbanlar arasında Recorded Future, Tanium, ve Jamf gibi firmalar da bulunmaktadır. Bu olay, söz konusu firmaların Salesforce hesaplarından veri çalınmasıyla sonuçlanmış, ancak platformlar ve iç sistemler etkilenmemiştir.
Sonuç ve Aksiyon
Bu olay neticesinde çalınan iş iletişim bilgileri, olası dolandırıcılık ve sosyal mühendislik kampanyaları için kullanılabileceğinden, müşterilere dikkatli olmaları tavsiye edilmektedir. Okuyuculara önerilen önlemler:
- Entegre sistemlere ait kimlik bilgilerini derhal güncelleyin.
- Güvenlik güncellemelerini düzenli olarak uygulayın.
- Aşırı izinleri kontrol edin ve gereksiz erişim yetkilerini kaldırın.
- Veri ihlaline karşı müşteri bilgilerini koruyacak önlemler alın.
İlgili tüm sistem ve uygulamaların güvenliğini sağlamak, bu tür olayların önüne geçmenin en etkili yoludur.
