Salesforce yan kuruluşu Heroku Perşembe günü, Nisan ayında Heroku GitHub entegrasyonu OAuth belirteçlerini çalan tehdit aktörünün, şirketin müşterilerine ait karma ve tuzlanmış parolaları içeren dahili bir veritabanına da eriştiğini söyledi.
Keşif, Heroku’nun güvenliği ihlal edilmiş tüm kullanıcı parolalarını sıfırlamaya zorlamasını ve dahili Heroku kimlik bilgilerini döndürmesini istedi. Şirketin 15 Nisan’dan bu yana sürekli olarak güncellediği bir güvenlik bildiriminde Heroku, gelecekteki sorunları azaltmak için bunların ne olduğunu detaylandırmadan ek algılama mekanizmalarını devreye soktuğunu söyledi.
Hizmet olarak platform satıcısı, “İlk olarak 15 Nisan 2022’de duyurulan bu Heroku olayına yanıt olarak özenle çalışmaya devam ediyoruz.” Dedi. “GitHub, tehdit istihbaratı tedarikçilerimiz ve diğer endüstri ortaklarımızla birlikte çalıştık ve soruşturmamıza yardımcı olması için kolluk kuvvetleriyle temasa geçtik.”
Tazeleme: Orijinal GitHub Repo İhlali
GitHub 13 Nisan’da Heroku’ya, 9 Nisan’da kaynak kodu da dahil olmak üzere Heroku’nun GitHub özel depolarının bir alt kümesini indiren bir tehdit aktörü tespit ettiğini açıkladı. Heroku, GitHub’ın kendisine tehdit aktörü hakkında bilgi verdiğini söyledi. şirkete verilen OAuth jetonlarına erişim kazanma ve bunları müşteri hesaplarını numaralandırmak için kullanmak. Heroku, belirteçleri, tehdit aktörüne Heroku’ya bağlı özel müşteri GitHub depolarına okuma ve yazma erişimi vermek olarak tanımladı.
15 Nisan tarihli bir blogda GitHub CSO’su Mike Hanley şunları söyledi: tehdit aktörü, OAuth kullanıcı belirteçlerini kullandı Heroku’ya ve başka bir üçüncü taraf entegratör olan Travis-CI’ye, dünya çapında milyonlarca geliştirici tarafından kullanılan düğüm paketi yöneticisi npm dahil olmak üzere düzinelerce kuruluşa ait depolardan veri indirmek için verilir.
Hanley, GitHub’ın araştırmasının, saldırganların diğer altyapılara saldırmak için kullanılabilecek veriler için indirilen GitHub özel depolarının içeriğini de çıkardığını gösterdiğini söyledi. Saldırganların çalınan OAuth belirteçlerini kullanma biçimleri nedeniyle saldırıların oldukça hedefli göründüğünü ekledi: İlk olarak, etkilenen tüm kuruluşları listelediler, ardından ilgilenilen özel depoları seçtiler ve bunları klonladılar.
Heroku’nun olayla ilgili soruşturması, tehdit aktörünün, müşteri GitHub entegrasyonu için kullanılan OAuth belirteçlerini içeren bir Heroku veritabanına erişmek için dahili bir “makine hesabı” ile ilişkili çalıntı bir OAuth belirteci kullandığını gösterdi.
Heroku, tehdit aktörünün 7 Nisan’da Heroku veritabanına erişim sağladığını ve depolanan jetonları indirdiğini ve ardından iki gün sonra bunları müşteri verilerini indirmek için kullandığını söyledi. Bu keşfin ardından Heroku, müşterilerin Heroku’nun panosunu veya otomasyonunu kullanarak GitHub aracılığıyla uygulama dağıtmasını önlemek için tüm GitHub entegrasyon OAuth belirteçlerini iptal etti.
Başlangıçta Varsayılandan Daha Geniş Etki
Perşembe günü Heroku, devam eden ihlal soruşturmasının, saldırganın şirketin müşterilerine ait karma kullanıcı adlarını ve şifrelerini içeren dahili veritabanına erişmek için aynı makine hesabı OAuth belirtecini kullandığını gösterdiğini söyledi.
Güvenlik uzmanları, olayın, kuruluşların OAuth kimlik doğrulama mekanizmalarının güvenliğine neden çok dikkat etmesi gerektiğini vurguladı.
BluBracket’in ürün ve geliştirici ilişkileri başkanı Casey Bisson, OAuth belirteçlerini kullanan bir saldırının, orijinal istemciye verilen tüm izinleri kullanarak belirteçleri yayınlayan hizmetle etkileşime girebileceğini söylüyor. İki örneğe işaret ederek, “İnsanlar ve şirketler, CI testlerini desteklemek ve kod kapsamı raporları çalıştırmak için gerektiği gibi, başka bir hizmetin özel depolardaki koda güvenli bir şekilde erişmesine izin vermek için OAuth entegrasyonlarına güveniyor” diyor.
OAuth: Jetonlar Güvende Olduğu Sürece Daha İyi Hesap Koruması
Servisler arasında şifre paylaşma alternatifiyle karşılaştırıldığında, OAuth jetonları daha güvenli veri paylaşımını mümkün kılar. Örneğin, çalınan parolalar olsaydı, saldırganların elde etmiş olabileceği erişim düzeyi muhtemelen daha da yüksek olurdu. Bisson, ilk hafifletme ve uzun vadeli düzeltmenin daha karmaşık hale geleceğini söylüyor.
Ancak, NTT Uygulama Güvenliği’nden Ray Kelly, OAuth belirteçlerinin kod depoları ve DevOps işlem hatları gibi bulut hizmetlerini otomatikleştirmek için yaygın olarak kullanıldığını belirtiyor. Bu nedenle, çalıntı bir jetona sahip kötü niyetli bir oyuncu, kurumsal IP’yi çalabilir veya GitHub gibi depolardaki kaynak kodunu değiştirebilir. Veya kötü amaçlı yazılımları yaymak veya kuruluşlardan hassas verileri çalmak için kullanabilirler, diyor. Kelly, “İş belirteçlerin korunması söz konusu olduğunda her zaman özel dikkat gösterilmelidir. Bunlar asla kamuya açıklanmamalı veya kuruluş dışında paylaşılmamalı” diyor.
GitHub’ın kendisi, 2023’ün sonundan itibaren, depoya kod katkıda bulunan tüm geliştiricilerin hesaplarına erişmek için çok faktörlü kimlik doğrulamasını kullanmasını gerektireceğini söyledi. Şirket bunu, yazılım tedarik zincirini hedef alan saldırıların artmasıyla birlikte GitHub depolarında depolanan kod ve IP’nin güvenliğini desteklemek için tasarlanmış bir hareket olarak nitelendirdi.