وقتی نام شرکتهایی چون Huntress و HackerOne به عنوان قربانیان یک هک مطرح میشود، زنگ خطر برای کل صنعت آیتی به صدا در میآید. ما در گاراژ تکین امروز به بررسی فاجعهای میپردازیم که نشان داد در دنیای ابری (Cloud) امروز، امنیت شما دقیقاً به اندازه ضعیفترین ادغام (Integration) شخصثالث شماست. گروه هکری Icarus با سوءاستفاده از یک توکن ساده و فراموششده در پلتفرم Klue، توانست به قلب دادههای Salesforce صدها سازمان نفوذ کند و بدون ایجاد هیچگونه هشدار امنیتی، اطلاعات را استخراج نماید. با ما همراه باشید تا کالبدشکافی کنیم که چگونه نسل جدید حملات OAuth، قواعد امنیت سایبری را بازنویسی کردهاند.
[IMAGE_PLACEHOLDER_1: تصویری از لوگوی Klue در کنار نمادهای امنیت سایبری و هشدار - عنوان: "پلتفرم Klue؛ نقطه شروع یک حمله زنجیرهای ویرانگر"] وقتی یک توکن فراموششده، دروازه جهنم را باز میکند در روز ۱۸
ژوئن ۲۰۲۶، تیم امنیتی Huntress متوجه فعالیتهای مشکوکی در محیط Salesforce خود شد. چیزی که در ابتدا به نظر یک آنومالی ساده میرسید، به زودی به یکی از پیچیدهترین حملات زنجیره تامین در تاریخ صنعت امنیت سایبری
تبدیل شد. داستان از Klue شروع میشود؛ یک پلتفرم هوش رقابتی (Competitive Intelligence) که صدها شرکت بزرگ از آن برای تجزیه و تحلیل بازار و مدیریت اطلاعات مشتریان استفاده میکنند. هکرها با استفاده از یک "credential
legacy" که سالها پیش با یک vendor به اشتراک گذاشته شده و هرگز باطل نشده بود، به زیرساخت Klue نفوذ کردند. این اعتباری که احتمالاً یک Personal Access Token (PAT) از GitHub بود، به مهاجمان اجازه داد تا به
سیستمهای داخلی Klue دسترسی یابند و OAuth tokens مشتریانی که Klue را به Salesforce و سایر پلتفرمهای شخص ثالث متصل کرده بودند، سرقت کنند. OAuth Token یک نوع کلید دیجیتالی است که به یک اپلیکیشن اجازه میدهد
بدون نیاز به رمز عبور، به نام یک کاربر یا سازمان به منابع دیگری دسترسی داشته باشد. در این حمله، هکرها با سرقت این توکنها، توانستند خود را به جای Klue جا بزنند و مستقیماً به محیطهای Salesforce صدها شرکت
دسترسی پیدا کنند. "} --> تاکتیکهای Icarus؛ از نفوذ اولیه تا استخراج داده گروه Icarus، که خود را مسئول این حمله دانسته، با دقت و برنامهریزی قابل توجهی عمل کرد. پس از نفوذ به Klue از طریق credential legacy،
مهاجمان یک بهروزرسانی مخرب کد را به محیط Klue push کردند. این کد مخصوص برای capture کردن OAuth tokens طراحی شده بود که برای اتصال به پلتفرمهای شخص ثالث مانند Salesforce استفاده میشدند. سپس، مهاجمان
ادامه مطلب در سایت