Midnight Blizzard en Cloudflare-Atlassian cyberbeveiligingsincidenten: wat u moet weten

Cyberbeveiliging
Cloudflare-Atlassian Cybersecurity Incidents

De cyberbeveiligingsincidenten Midnight Blizzard en Cloudflare-Atlassian hebben alarm geslagen over de kwetsbaarheden die inherent zijn aan grote SaaS-platforms. Deze incidenten illustreren de belangen die betrokken zijn bij SaaS-inbreuken: het beschermen van de integriteit van SaaS-apps en hun gevoelige gegevens is van cruciaal belang, maar niet eenvoudig. Veelvoorkomende dreigingsvectoren zoals geavanceerde spearphishing, verkeerde configuraties en kwetsbaarheden in app-integraties van derden tonen de complexe beveiligingsuitdagingen waarmee IT-systemen worden geconfronteerd.

In het geval van Midnight Blizzard was het verspreiden van wachtwoorden tegen een testomgeving de eerste aanvalsvector. Voor Cloudflare-Atlassian hebben bedreigingsactoren de aanval geïnitieerd via gecompromitteerde OAuth-tokens van een eerdere inbreuk bij Okta, een SaaS-identiteitsbeveiligingsprovider.

Wat er precies gebeurd is?

Microsoft Midnight Blizzard-inbreuk

Microsoft was het doelwit van de Russische ‘Midnight Blizzard’-hackers (ook bekend als Nobelium, APT29 of Cozy Bear) die banden hebben met de SVR, de buitenlandse inlichtingendienst van het Kremlin.

Bij de Microsoft-inbraak doen de bedreigingsactoren het volgende:

  1. Er is een strategie voor het opsommen van wachtwoorden gebruikt voor een verouderd account en voor historische testaccounts waarvoor multi-factor authenticatie (MFA) niet is ingeschakeld. Volgens Microsoft zijn het de ‘bedreigingsactoren'[used] een laag aantal pogingen om detectie te omzeilen en accountblokkeringen te vermijden op basis van het aantal fouten.”
  2. Het gecompromitteerde oude account gebruikt als eerste toegangspunt om vervolgens een verouderde OAuth-testapp te kapen. Deze verouderde OAuth-app had machtigingen op hoog niveau voor toegang tot de bedrijfsomgeving van Microsoft.
  3. Kwaadaardige OAuth-apps gemaakt door misbruik te maken van de machtigingen van de verouderde OAuth-app. Omdat de bedreigingsactoren de verouderde OAuth-app controleerden, konden ze de toegang tot de applicaties behouden, zelfs als ze de toegang tot het aanvankelijk gecompromitteerde account verloren.
  4. Beheerders Exchange-machtigingen en beheerdersreferenties aan zichzelf verleend.
  5. Geëscaleerde rechten van OAuth naar een nieuwe gebruiker, die zij beheerden.
  6. Ingestemd met de kwaadaardige OAuth-applicaties met behulp van hun nieuw aangemaakte gebruikersaccount.
  7. De toegang van de verouderde applicatie verder geëscaleerd door deze volledige toegang te verlenen tot M365 Exchange Online-mailboxen. Met deze toegang kon Midnight Blizzard M365-e-mailaccounts van senior medewerkers bekijken en zakelijke e-mails en bijlagen exfiltreren.

Cloudflare-Atlassische breuk

Op Thanksgiving Day, 23 november 2023, werden de Atlassian-systemen van Cloudflare ook gecompromitteerd door een natiestaataanval.

  1. Deze inbreuk, die begon op 15 november 2023, werd mogelijk gemaakt door het gebruik van gecompromitteerde inloggegevens die niet waren gewijzigd na een eerdere inbreuk bij Okta in oktober 2023.
  2. Aanvallers hebben toegang gekregen tot de interne wiki en bugdatabase van Cloudflare, waardoor ze 120 codeopslagplaatsen in de Atlassian-instantie van Cloudflare konden bekijken.
  3. Mogelijk zijn 76 broncodeopslagplaatsen met betrekking tot belangrijke operationele technologieën geëxfiltreerd.
  4. Cloudflare heeft de bedreigingsacteur op 23 november gedetecteerd omdat de bedreigingsacteur een Smartsheet-serviceaccount heeft gekoppeld aan een beheerdersgroep in Atlassian.

Bedreigingsactoren richten zich steeds vaker op SaaS

Deze inbreuken maken deel uit van een breder patroon van nationale actoren die zich richten op SaaS-dienstverleners, inclusief maar niet beperkt tot spionage en het verzamelen van inlichtingen. Midnight Blizzard was eerder betrokken bij belangrijke cyberoperaties, waaronder de SolarWinds-aanval van 2021.

Deze incidenten onderstrepen het belang van continue monitoring van uw SaaS-omgevingen en het voortdurende risico dat wordt gevormd door geavanceerde cybervijanden die zich richten op kritieke infrastructuur en operationele tech-stack. Ze benadrukken ook aanzienlijke kwetsbaarheden met betrekking tot SaaS-identiteitsbeheer en de noodzaak van strikte risicobeheerpraktijken voor apps van derden.

Aanvallers gebruiken algemene tactieken, technieken en procedures (TTP’s) om SaaS-providers binnen te dringen via de volgende kill-chain:

  1. Eerste toegang: Wachtwoordspray, OAuth kapen
  2. Vasthoudendheid: imiteert beheerder, creëert extra OAuth
  3. Ontduiking van defensie: Zeer bevoorrechte OAuth, geen MFA
  4. Laterale beweging: breder compromis van verbonden apps
  5. Gegevensexfiltratie: Haal bevoorrechte en gevoelige gegevens uit apps

De SaaS-kill-keten doorbreken

Een effectieve manier om de ‘kill chain’ vroegtijdig te doorbreken is door middel van continue monitoring, gedetailleerde beleidshandhaving en proactief levenscyclusbeheer voor uw SaaS-omgevingen. Een SaaS Security Posture Management (SSPM)-platform zoals AppOmni kan helpen bij het detecteren en waarschuwen voor:

  • Initiële toegang: Kant-en-klare regels om inbreuk op inloggegevens te detecteren, waaronder wachtwoordsprayen, brute force-aanvallen en niet-afgedwongen MFA-beleid
  • Vasthoudendheid: Scan en identificeer OAuth-machtigingen en detecteer OAuth-kaping
  • Ontduiking van defensie: Controles van toegangsbeleid, detecteren of er een nieuwe identiteitsprovider (IdP) is aangemaakt, detecteren toestemmingswijzigingen.
  • Zijwaartse beweging: Houd logins en geprivilegieerde toegang in de gaten, detecteer giftige combinaties en krijg inzicht in de explosieradius van een mogelijk gehackt account
Cloudflare-Atlassian cyberbeveiligingsincidenten

Opmerking: dit vakkundig bijgedragen artikel is geschreven door Beverly Nevalga, AppOmni.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google One passeert de grens van 100 miljoen abonnees, bevestigt CEO

Elon Musk moet getuigen in het onderzoek van SEC naar zijn overname van Twitter

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]