Uber Perşembe öğleden sonra, 18 yaşındaki bir hacker'ın hackerone güvenlik açığı raporlarını indirdiği ve şirketin dahili sistemlerinin, e-posta panosunun ve Slack sunucusunun ekran görüntülerini paylaştığı iddia edilen bir siber saldırıya maruz kaldı.
Hacker tarafından paylaşılan ve BleepingComputer tarafından görülen ekran görüntüleri, şirketin güvenlik yazılımı ve Windows alanı da dahil olmak üzere birçok kritik Uber BT sistemine tam erişim gibi görünen şeyleri gösteriyor.
Hacker tarafından erişilen diğer sistemler arasında şirketin Amazon Web Services konsolu, VMware vSphere/ESXI sanal makineleri ve Uber e -posta hesaplarını yönetmek için Google Workspace Yönetici Gösterge Tablosu bulunmaktadır.
Tehdit oyuncusu ayrıca, şirketin saldırıya uğradığını belirten çalışanlara mesaj gönderdiği Uber Slack sunucusunu da ihlal etti. Bununla birlikte, Uber's Slack'in ekran görüntüleri, çalışanların gerçek bir siber saldırının gerçekleştiğini fark etmediği için bu duyuruların ilk olarak memes ve şakalarla karşılandığını gösteriyor.
Uber o zamandan beri saldırıyı doğruladı, kolluk kuvvetleriyle temas halinde olduklarını tweetledi ve mevcut hale geldikçe ek bilgi yayınlayacak.
Uber Communications hesabını, "Şu anda bir siber güvenlik olayına yanıt veriyoruz. Kolluk kuvvetleri ile temas halindeyiz ve mevcut olduklarında burada ek güncellemeler yayınlayacağız."
İlk olarak ihlal hakkında rapor veren New York Times, bir çalışana sosyal mühendislik saldırısı yaptıktan ve şifrelerini çaldıktan sonra Uber'i ihlal ettiklerini söyleyen tehdit oyuncusu ile konuştuklarını söyledi.
Tehdit oyuncusu daha sonra çalınan kimlik bilgilerini kullanarak şirketin dahili sistemlerine erişim elde etti.
Cuma öğleden sonra Uber, soruşturmanın hala devam ettiğini ancak bu ek ayrıntıları paylaşabileceğini belirten ek bir güncelleme yayınladı:
Saldırgan yüksek sesle Uber'in sistemlerini şirketin Slack sunucusundaki sistemlerini ihlal ettiklerini ve Hackerone Bug Bounty programına sunmak için yorumlarda, güvenlik araştırmacıları saldırı hakkında daha fazla bilgi edinmek için tehdit aktörüne ulaştı.
Tehdit oyuncusu ve güvenlik araştırmacısı Corben Leo arasındaki konuşmada, hacker, bir çalışana sosyal mühendislik saldırısı yaptıktan sonra Uber'in intranetine erişebildiklerini söyledi.
Tehdit oyuncusuna göre, bir Uber çalışanı olarak oturum açmaya çalıştılar, ancak kimlik bilgilerine nasıl erişim kazandıkları hakkında ayrıntılar vermediler.
Uber hesabı çok faktörlü kimlik doğrulama ile korunduğundan, saldırganın bir MFA yorgunluk saldırısı kullandığı ve çalışanı MFA talebini kabul etmeye ikna etmek için Uber BT desteği gibi davrandığı iddia edildi.
MFA yorgunluk saldırıları, bir tehdit oyuncunun kurumsal giriş kimlik bilgilerine erişebildiği ancak çok faktörlü kimlik doğrulama ile hesaba erişimden engellendiği zamandır. Daha sonra kurbanlar onları görmekten bıkana ve son olarak bildirimi kabul edene kadar hedefe tekrarlanan MFA talepleri yayınlarlar.
Bu sosyal mühendislik taktiği, Twitter, Mailchimp, Robinhood ve Okta dahil olmak üzere tanınmış şirketlere yönelik son saldırılarda çok popüler hale geldi.
Kimlik bilgilerine eriştikten sonra, tehdit oyuncusu Leo'ya kurumsal VPN aracılığıyla dahili ağa giriş yaptıklarını ve hassas bilgiler için şirketin intranetini taramaya başladığını söyledi.
Bu taramaların bir parçası olarak, hacker, şirketin diğer dahili hizmetler için giriş sırlarına erişmek için kullanılan şirketin Thycotic ayrıcalıklı erişim yönetimi (PAM) platformu için yönetici kimlik bilgileri içeren bir PowerShell komut dosyası bulduklarını söylüyor.
"Tamam, temelde Uber'in bir ağ payı vardı \\ [REDACTED] PTS. Paylaşım bazı PowerShell komut dosyaları içeriyordu.
PowerShell komut dosyalarından biri, bunu kullanarak thycotik (PAM) bir yönetici kullanıcısı için kullanıcı adı ve şifreyi içeriyordu, tüm hizmetler için sırlar çıkarabildim, DA, Duo, OneLogin, AWS, GSUite "
New York Times, saldırganın saldırının bir parçası olarak Uber veritabanlarına ve kaynak kodlarına eriştiğini iddia ettiğini bildirdi.
Açık olmak gerekirse, bu bilgi tehdit aktörlerinden alınmıştır ve daha fazla bilgi taleplerimize yanıt vermeyen Uber tarafından doğrulanmamıştır.
Tehdit oyuncusu bu saldırı sırasında Uber'den veri ve kaynak kodu çalması mümkün olsa da, daha da değerli bir varlığa erişebildiler.
Yuga Labs Güvenlik Mühendisi Sam Curry'e göre, hacker ayrıca şirketin Hackerone Bug Bounty programına erişebildi ve burada şirketin tüm hata ödül biletleri hakkında yorum yaptı.
Curry, BleepingComputer'a, saldırganın iki yıl önce Uber'e gönderdiği bir güvenlik açığı raporu hakkındaki yukarıdaki yorumu bıraktıktan sonra ihlali ilk öğrendiğini söyledi.
Uber, güvenlik araştırmacılarının parasal bir hata ödül ödülü karşılığında sistemlerindeki ve uygulamalarındaki güvenlik açıklarını özel olarak ifşa etmelerini sağlayan bir Hackerone Bug Bounty programı çalıştırıyor. Bu güvenlik açığı raporları, saldırganların saldırılarda sömürülmesini önlemek için bir düzeltme serbest bırakılana kadar gizli tutulmalıdır.
Curry ayrıca, bir Uber çalışanının tehdit oyuncusunun Hackerone'deki tüm özel güvenlik açığı sunumlarına erişebileceğini söyledi.
BleepingComputer, bir kaynak tarafından, saldırganın Uber'in Bug Bounty programına erişimi kaybetmeden önce tüm güvenlik açığı raporlarını indirdiği söylendi. Bu muhtemelen sabitlenmemiş güvenlik açığı raporlarını içerir ve Uber için ciddi bir güvenlik riski sunar.
Hackerone, o zamandan beri Uber Bug Bounty programını devre dışı bıraktı ve açıklanan güvenlik açıklarına erişimi kesti.
Bununla birlikte, tehdit oyuncunun güvenlik açığı raporlarını zaten indirmiş olması ve muhtemelen saldırıyı hızla nakletmeleri için diğer tehdit aktörlerine satması şaşırtıcı olmazdı.
Güncelleme 9/16/22: Hacker tarafından saldırının nasıl gerçekleştiği hakkında daha fazla ayrıntı eklendi. Uber'den ifade eklendi.
Bilgisayar korsanları, sıfır gün hatasını sömürerek Bitcoin ATM'lerinden kripto çalıyor
CISA, bilgisayar korsanları tarafından sömürülen hataların listesine 7 güvenlik açığı ekler
Bilgisayar korsanları Zimbra'daki şifre çalma kusurunu aktif olarak kullanıyor
Atlassian, kritik konfluence sert kodlanmış kimlik bilgileri kusurlarını düzeltir
GTA 6 Kaynak Kodu ve Videolar Rockstar Games Hack'ten Sonra Sızan
Kaynak: Bleeping Computer