BeyondTrust API İhlali: 17 SaaS Müşterisi Etkilendi
BeyondTrust, bir API anahtarının ele geçirilmesiyle 17 Uzaktan Destek SaaS müşterisinin etkilendiği bir siber saldırıyı soruşturduğunu duyurdu. İhlal, tehdit aktörlerinin yerel uygulama şifrelerini sıfırlayarak yetkisiz erişim sağlamasına olanak tanıdı.
Araştırma, saldırının BeyondTrust'un AWS ortamına erişim sağlayan üçüncü taraf bir uygulamadaki sıfır gün açığından kaynaklandığını ortaya koydu. Bu erişimle saldırganlar, Uzaktan Destek altyapısını çalıştıran başka bir AWS hesabına karşı kullanılabilecek bir API anahtarı ele geçirdi.
BeyondTrust, saldırının kendi ürünlerindeki CVE-2024-12356 ve CVE-2024-12686 kodlu güvenlik açıklarını da ortaya çıkardığını belirtti. CISA, bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi.
Saldırıların, Çin bağlantılı Silk Typhoon (eski adıyla Hafnium) grubuna atfedildiği ve ABD Hazine Bakanlığı’nın etkilenen taraflardan biri olduğu açıklandı.

Alınabilecek Önlemler:
🔹 API Anahtarı Güvenliği: API anahtarlarının düzenli olarak yenilenmesi ve minimum ayrıcalık ilkesine göre yönetilmesi.
🔹 Sıfır Gün Açıklarına Karşı Önlem: Üçüncü taraf yazılımlar ve entegrasyonlar için düzenli güvenlik denetimleri yapılması.
🔹 Çok Faktörlü Kimlik Doğrulama (MFA): Yetkisiz erişimi önlemek için kritik sistemlerde MFA zorunlu hale getirilmeli.
🔹 Güvenlik Açıklarının Takibi: CISA gibi kurumların yayımladığı güvenlik açıkları listelerinin düzenli olarak takip edilmesi.
🔹 Güvenlik Olayı Müdahale Planı: Benzer saldırılara karşı hızlı yanıt verebilmek için güncel ve test edilmiş bir olay müdahale planı oluşturulmalı.
Comments