لینک کوتاه مطلب : https://hsgar.com/?p=3075

بررسی رویداد آوریل 2022 | هیروکو

به این مقاله گوش دهید

ما تحقیقات خود را به پایان رسانده‌ایم و می‌خواهیم مروری بر اقدامات عامل تهدید، اقدامات کاهش مستقیمی که به دلیل این حادثه انجام داده‌ایم، و تغییرات اضافی که در مواجهه با چشم‌انداز تهدید به طور مداوم در حال تحول ایجاد خواهیم کرد، به مشتریان خود ارائه دهیم. خلاصه حادثه ما آنچه را که در طول تحقیقات خود از 13 آوریل 2022 شروع و تا 30 مه 2022 به پایان می رسد، تشریح می کند. این خلاصه حادثه و اقدامات متعددی که برای افزودن به وضعیت امنیتی کلی خود انجام داده ایم، بخشی از ادامه کار ما است. تعهد به حفظ اعتماد شما

در 13 آوریل 2022، GitHub به Salesforce از یک مشکل امنیتی بالقوه اطلاع داد و تحقیقات ما را در مورد این حادثه آغاز کرد. کمتر از سه ساعت پس از اعلان اولیه، ما اقدامات مهاری را علیه حساب در معرض خطر گزارش شده انجام دادیم.

همانطور که تحقیقات ادامه داشت، شواهدی از مصالحه بیشتر کشف کردیم، در این مرحله ما شریک پاسخ شخص ثالث خود را درگیر کردیم. تجزیه و تحلیل ما، بر اساس اطلاعات در دسترس ما، و با پشتیبانی از ارزیابی شخص ثالث، ما را به این نتیجه رساند که دسترسی غیرمجاز مشاهده شده بخشی از یک حمله از نوع زنجیره تامین بوده است. ما همچنان به بررسی ادغام‌های شخص ثالث خود ادامه می‌دهیم و مواردی را که با استانداردهای امنیتی ما و تعهد به بهبود مدل امنیتی مشترک مطابقت ندارند حذف می‌کنیم.

در Salesforce، اعتماد ارزش شماره 1 ما است، و این شامل امنیت داده‌های مشتریان ما می‌شود. ما می دانیم که برخی از اقدامات پاسخ و مهار ما برای ایمن سازی داده های مشتری، به ویژه قطع یکپارچه سازی با GitHub و چرخش اعتبار، مشتریان ما را تحت تأثیر قرار داده است. ما می دانیم که این اقدامات ممکن است باعث ناراحتی شما شده باشد، اما ما احساس کردیم که این یک گام مهم برای محافظت از داده های شما است.

ما به تعامل با تیم های مهندسی و امنیتی GitHub ادامه می دهیم تا سطح استانداردهای امنیتی را بالا ببریم. همانطور که ما معتقدیم RFC-8705 مبتنی بر TLS متقابل و محافظت از کلید خصوصی برای OAuth، و همچنین وفاداری کامل بین ادغام Heroku GitHub OAuth و مدل GitHub App، امتیازات دسترسی ماژولار بیشتری را برای مخازن متصل فراهم می کند، ما قصد داریم این مسیرها را با GitHub بررسی کنیم.

ما همچنین به سرمایه گذاری در Heroku ادامه می دهیم، موقعیت امنیتی خود را تقویت می کنیم و تلاش می کنیم تا اطمینان حاصل کنیم که دفاع ما با چشم انداز تهدید در حال تحول مقابله می کند. ما مشتاقانه منتظر نظرات شما در مورد گزارش و نقشه راه آینده خود هستیم. اگر مایلید مستقیماً به من بازخورد بدهید، لطفاً اینجا با من تماس بگیرید: www.linkedin.com/in/bobwise.

در زیر خلاصه ای از تحقیقات ما در مورد دسترسی غیرمجاز به سیستم های Heroku که بین 13 آوریل 2022 و 30 مه 2022 انجام شده است، شامل فعالیت عامل تهدید شناخته شده و پاسخ های ما است.

خلاصه حادثه

در 13 آوریل 2022، GitHub تیم امنیتی ما را از یک مشکل امنیتی احتمالی که در 12 آوریل 2022 شناسایی کردند مطلع کرد و ما بلافاصله تحقیقات را آغاز کردیم. ظرف سه ساعت، اقدامی انجام دادیم و توکن OAuth و حساب GitHub کاربر در معرض خطر شناسایی شده را غیرفعال کردیم. ما شروع به بررسی چگونگی به خطر افتادن توکن OAuth کاربر کردیم و مشخص کردیم که در 7 آوریل 2022، یک عامل تهدید به پایگاه داده Heroku دسترسی پیدا کرد و توکن‌های OAuth یکپارچه سازی GitHub مشتری ذخیره شده را دانلود کرد.

طبق گفته GitHub، عامل تهدید در 8 آوریل 2022 شروع به برشمردن ابرداده های مربوط به مخازن مشتری با توکن های OAuth بارگیری شده کرد. در 9 آوریل 2022، عامل تهدید زیرمجموعه ای از مخازن GitHub خصوصی Heroku را از GitHub دانلود کرد که حاوی مقداری کد Heroku بود. . علاوه بر این، طبق گفته GitHub، عامل تهدید به مخازن خصوصی ذخیره شده در GitHub متعلق به تعداد کمی از مشتریان ما دسترسی پیدا کرده و آنها را شبیه سازی کرده است. هنگامی که این مورد شناسایی شد، در 15 آوریل 2022 به مشتریان اطلاع دادیم، همه نشانه‌های موجود را از ادغام GitHub داشبورد Heroku لغو کردیم و از ایجاد توکن‌های OAuth جدید جلوگیری کردیم.

ما شروع به بررسی نحوه دسترسی اولیه عامل تهدید به محیط کردیم و مشخص کردیم که با استفاده از یک توکن در معرض خطر برای یک حساب ماشین Heroku به دست آمده است. ما تشخیص دادیم که عامل تهدید ناشناس از یک مخزن خصوصی آرشیو شده GitHub حاوی کد منبع Heroku به حساب ماشین دسترسی پیدا کرده است. ما ارزیابی کردیم که عامل تهدید از طریق یکپارچه سازی شخص ثالث با آن مخزن به مخزن دسترسی پیدا کرده است. ما به همکاری نزدیک با شرکای خود ادامه می‌دهیم، اما نتوانستیم به طور قطعی ادغام شخص ثالث را که منبع حمله بود تأیید کنیم.

تحقیقات بیشتر نشان داد که این بازیگر به داده‌ها از پایگاه داده‌ای که نام‌های کاربری و رمزهای عبور منحصربفرد هش‌شده و سالت شده برای حساب‌های مشتریان را ذخیره می‌کند، دسترسی پیدا کرده است. در حالی که گذرواژه‌ها هش و سالت شده بودند، در تاریخ 5 مه 2022 تصمیم گرفتیم حساب‌های مشتریان را بچرخانیم، به دلیل احتیاط فراوان، زیرا همه مشتریان در آن زمان و بالقوه احراز هویت چند عاملی (MFA) را فعال نکرده بودند. استفاده مجدد از رمز عبور

همانطور که تحقیقات ادامه داشت، تأیید کردیم که در همان روزی که عامل تهدید از توکن‌های GitHub OAuth استفاده کرد، آنها همچنین داده‌هایی را از پایگاه داده دیگری دانلود کردند که تنظیمات پیکربندی در سطح خط لوله را برای Review Apps و Heroku CI ذخیره می‌کند. پس از شناسایی در 16 مه 2022، در 18 مه 2022 به مشتریان آسیب دیده به طور خصوصی اطلاع دادیم و دستورالعمل‌های اصلاحی را ارائه کردیم. در طول این مدت، محدودیت‌های بیشتری را برای مجوزهای توکن، دسترسی به پایگاه داده و تغییرات معماری اعمال کردیم.

در طول تحقیقات خود، توقف تولید را اجرا کردیم و اعتبار سایر حساب‌های مهم را غیرفعال یا چرخش کردیم. در 14 آوریل 2022، شریک واکنش به حادثه شخص ثالث خود را برای کمک بیشتر جذب کردیم. ما با شرکای اطلاعاتی تهدیدات خود در سراسر صنعت کار کردیم تا بینش بیشتری در مورد فعالیت این بازیگر به دست آوریم، که به ما امکان داد تحقیقات خود را گسترش دهیم، شناسایی را بهبود بخشیم، و موارد اضافی را پیاده سازی کنیم. کنترل های امنیتی که هدف آنها جلوگیری از دستیابی عامل تهدید به هرگونه دسترسی غیرمجاز بیشتر است. ما GitHub را به طور مداوم برای اطلاعات درگیر کردیم و سایر دارایی‌ها، اعتبارنامه‌ها و نشانه‌های احتمالی در معرض خطر را بررسی کردیم. اقدامات پیشگیرانه دیگری از جمله چرخش اعتبارنامه و کلید اضافی، رمزگذاری مجدد، غیرفعال کردن اتوماسیون داخلی، نصب ابزارهای تشخیص تهدید بیشتر و خاموش کردن سیستم‌های غیر ضروری را انجام دادیم.

تلاش‌های پاسخ سخت‌گیرانه، از جمله شناسایی پیشرفته، کاهش جامع، و بررسی دقیق، به طور مؤثر زیرساخت‌های مستقر عامل تهدید را مختل کرد و توانایی آنها برای ادامه دسترسی غیرمجاز خود را از بین برد. ما نظارت مستمری داریم و هیچ مدرکی مبنی بر دسترسی غیرمجاز این بازیگر به سیستم‌های Heroku از 14 آوریل 2022 نداریم.

طبق فرآیند استاندارد پاسخگویی به حادثه، ما از این حادثه برای بررسی شدید شیوه‌های امنیتی خود، چه از نظر تهاجمی و چه از نظر دفاعی، استفاده کردیم، بهبودهایی را شناسایی کردیم و این اقدامات را بر هر چیز دیگری اولویت‌بندی کردیم.

بهترین شیوه های امنیتی برای مشتریان ما

علاوه بر اقداماتی که قبلاً به مشتریان ما اطلاع رسانی شده است و بهبودهای امنیتی اضافی که انجام می دهیم، لطفاً بهترین شیوه های زیر را در نظر داشته باشید:

  • هرگز از رمزهای عبور خود در هروکو و سایر وب سایت ها استفاده مجدد نکنید. استفاده مجدد از رمز عبور احتمال به خطر افتادن حساب Heroku شما را به دلیل یک مشکل امنیتی در سرویس دیگر افزایش می دهد. ما پیشنهاد می کنیم از مدیریت رمز عبور مانند آنچه در سیستم عامل شما، مرورگر شما یا مدیر رمزهای باز و تجاری موجود است استفاده کنید.
  • MFA را در حساب Heroku خود فعال کنید به طور قابل توجهی احتمال به خطر افتادن رمز عبور را کاهش دهد. در اینجا چند منبع برای کمک به سفر MFA شما وجود دارد:
  • مخازن و سازمان های GitHub خود را حسابرسی کنید مخالفت با بهترین شیوه های GitHub و فعال کردن را در نظر بگیرید سیاست های امنیتی مخزن GitHub در صورت امکان ادغام هایی را که به مخازن GitHub خود متصل می کنید بررسی کنید و اطمینان حاصل کنید که ادغام مورد اعتماد است.

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.