Salesforce ve Klue Entegrasyonunun Kapatılması: OAuth Token Tedarik Zinciri Saldırısı Analizi

Giriş

Salesforce, rakip istihbarat firması Klue tarafından kullanılan Klue Battlecards uygulamasının entegrasyonunu, yaşanan bir güvenlik ihlali nedeniyle geçici olarak devre dışı bıraktı. Saldırı, Klue altyapısındaki eski bir kimlik bilgisi aracılığıyla gerçekleştirildi ve bu durum, Icarus adı verilen bir gasp grubunun kötü niyetli kod enjekte etmesine olanak sağladı. Saldırganlar, bu kod sayesinde müşterilerin Klue'yi kendi ortamlarına bağlamak için kullandıkları OAuth token'larını topladı ve standart kimlik doğrulama önlemlerini (şifreler, çok faktörlü kimlik doğrulama vb.) atlayarak sistemlere erişim elde etti.

Saldırı Mekanizması ve Etkileri

Tedarik Zinciri Saldırısı (Supply Chain Attack)

Tedarik zinciri saldırıları, üçüncü taraf yazılımlar veya hizmetler aracılığıyla gerçekleştirilen ve hedef sistemlere doğrudan erişim sağlayan saldırılardır. Bu olayda, Klue'nin altyapısındaki eski ve korunmayan bir kimlik bilgisi, saldırganlara Klue'nin müşteri ortamlarına erişim izni veren OAuth token'larını çalma fırsatı sundu. Bu token'lar, Salesforce gibi platformlarda kullanılan OAuth 2.0 protokolü aracılığıyla yetkilendirme sağladığından, saldırganlar kimlik doğrulama kontrollerini bypass edebildi.

OAuth Token'larının Kötüye Kullanılması

OAuth token'ları, kullanıcıların üçüncü taraf uygulamalara erişim izni vermesini sağlayan güvenlik token'larıdır. Bu token'lar genellikle uzun ömürlü olup, süresiz olarak geçerliliğini koruyabilir. Saldırganlar, çalınan token'ları kullanarak:

• Müşteri verilerine erişim sağlama,
• Salesforce ortamlarında yetkisiz işlemler gerçekleştirme,
• Diğer entegre uygulamalarla etkileşim kurma yetkisini elde etme.

Bu durum, sadece Klue müşterilerini değil, aynı zamanda Salesforce platformunun genel güvenliğini de tehdit etmiştir.

Salesforce ve Klue'nin Tepkisi

Entegrasyonun Devre Dışı Bırakılması

Salesforce, yaşanan güvenlik ihlali sonrasında Klue Battlecards uygulamasının entegrasyonunu acilen devre dışı bıraktı. Bu karar, müşteri verilerinin korunması ve potansiyel veri sızıntılarının önlenmesi amacıyla alındı. Salesforce, entegrasyonun yeniden etkinleştirilmesi için Klue'nin güvenlik iyileştirmelerini tamamlamasını ve üçüncü taraf denetimlerinden geçmesini şart koştu.

Klue'nin Açıklaması ve Alınan Önlemler

Klue, yaşanan olayın ardından yaptığı açıklamada, saldırının eski bir kimlik bilgisi aracılığıyla gerçekleştiğini ve saldırganların sistemlerine kötü niyetli kod enjekte ettiğini doğruladı. Klue, aşağıdaki önlemleri aldığını belirtti:

1. Kimlik bilgilerinin gözden geçirilmesi: Tüm eski ve kullanılmayan kimlik bilgileri devre dışı bırakıldı ve yenileriyle değiştirildi.
2. Güvenlik denetimlerinin güçlendirilmesi: Altyapıda periyodik güvenlik denetimleri ve izinsiz erişim tespit sistemleri (IDS) devreye alındı.
3. OAuth token'larının süresinin kısaltılması: Token'ların geçerlilik süresi azaltılarak, potansiyel kötüye kullanım riski minimize edildi.
4. Üçüncü taraf denetimleri: Bağımsız güvenlik firmaları tarafından kapsamlı denetimler gerçekleştirildi ve güvenlik açıkları giderildi.

Olayın Ardından Alınması Gereken Güvenlik Önlemleri

Kuruluşlar için Adım Adım Öneriler

Aşağıdaki adımlar, benzer tedarik zinciri saldırılarından korunmak için kuruluşlar tarafından uygulanabilir:

1. Üçüncü taraf uygulamaların güvenliğinin değerlendirilmesi:
   • Üçüncü taraf uygulamaların güvenlik sertifikalarını ve geçmişini araştırın.
   • Uygulamaların OAuth token'ları için kısa ömürlü token'lar kullanmasını sağlayın.
   • Token'ların kullanımını sürekli olarak izleyin ve şüpheli aktiviteleri tespit edin.
2. Kimlik bilgilerinin yönetimi:

   # Eski kimlik bilgilerini listeleyin ve devre dışı bırakın
   kubectl get secrets --all-namespaces | grep -i "old-credential"
   # Yeni kimlik bilgileri oluşturun ve eski olanları silin
   kubectl delete secret old-credential-name -n namespace
   

   İpucu: Kimlik bilgilerini yönetirken, rotasyon politikaları uygulayın ve kimlik bilgilerini düzenli olarak değiştirin. Ayrıca, kimlik bilgilerini saklarken gizli değişkenler (secrets) kullanın ve bunları şifreleyin.

3. OAuth token'larının izlenmesi:

   OAuth token'larının kullanımını izlemek için aşağıdaki komutları kullanabilirsiniz:

   # OAuth token'larının listesini alın
   curl -X GET "https://api.salesforce.com/services/oauth2/token" -H "Authorization: Bearer "
   # Token kullanımını log'layın
   kubectl logs -n namespace pod-name | grep -i "oauth"
   

   Uyarı: Token'ların yetkisiz kullanımını tespit etmek için SIEM (Security Information and Event Management) sistemleri kullanın. Anormal aktiviteleri hemen araştırın.

4. Çok faktörlü kimlik doğrulama (MFA) zorunluluğu:

   Tüm kullanıcı hesapları için MFA uygulayın ve varsayılan olarak etkinleştirin. Bu, saldırganların çalınan token'ları kullanarak sisteme erişmesini zorlaştıracaktır.

   # Salesforce'ta MFA zorunluluğunu etkinleştirin
   Salesforce Setup → Security Controls → Session Settings → Require Multi-Factor Authentication
   

5. Güvenlik denetimlerinin düzenli olarak yapılması:

   Üçüncü taraf uygulamaların ve entegrasyonların güvenlik denetimlerini periyodik olarak gerçekleştirin. Bu denetimler, aşağıdaki alanları kapsamalıdır:

   • Kimlik bilgilerinin güvenliği,
   • Token yönetimi,
   • API erişim kontrolleri,
   • Log ve izleme sistemleri.

Olayın Sonuçları ve Gelecekteki Riskler

Salesforce ve Klue'ye Yönelik Etkiler

Bu olay, Salesforce ve Klue gibi büyük kuruluşların bile tedarik zinciri saldırılarına karşı savunmasız olduğunu gösterdi. Salesforce'un entegrasyonu devre dışı bırakması, müşterilerin Klue Battlecards uygulamasını kullanmasını geçici olarak engelledi. Klue ise itibar kaybı ve müşteri güveninin sarsılması riskiyle karşı karşıya kaldı. Ayrıca, saldırganlar tarafından elde edilen OAuth token'ları, gelecekte başka saldırılarda kullanılabilir.

Gelecekteki Riskler ve Önlemler

Tedarik zinciri saldırıları, siber güvenlik alanında giderek artan bir tehdit haline gelmektedir. Kuruluşlar, aşağıdaki risklere karşı hazırlıklı olmalıdır:

• Üçüncü taraf yazılımların kötüye kullanılması: Saldırganlar, üçüncü taraf yazılımları aracılığıyla sistemlere erişim sağlayabilir.
• Token'ların çalınması ve kötüye kullanılması: Uzun ömürlü token'lar, saldırganlara sistemlerde kalıcı erişim sağlayabilir.
• Gizli kimlik bilgilerinin sızdırılması: Eski ve korunmayan kimlik bilgileri, saldırganlara sistemlere erişim izni verebilir.

Bu riskleri azaltmak için kuruluşlar, sıfır güven (Zero Trust) modelini benimsemeli ve sürekli izleme, kimlik doğrulama ve yetkilendirme kontrollerini güçlendirmelidir.

Sonuç

Salesforce ve Klue arasındaki bu olay, tedarik zinciri saldırılarının ne kadar yıkıcı olabileceğini ve üçüncü taraf entegrasyonlarının güvenlik risklerini göz ardı edilemeyeceğini göstermektedir. Kuruluşlar, üçüncü taraf uygulamaların güvenliğini sağlamak ve OAuth token'larının kötüye kullanılmasını önlemek için proaktif adımlar atmalıdır. Bu olaydan çıkarılan dersler, gelecekteki saldırıları önlemek ve sistemlerin güvenliğini artırmak için kritik öneme sahiptir.

Ek Kaynaklar

• Salesforce OAuth 2.0 Kılavuzu
• OWASP Secrets Yönetimi Kılavuzu
• Olayın Detaylı İncelemesi (4sysops)