Cyber Security

3CX Tedarik Zinciri Saldırısı: Supply Chain Riski Kurumlar İçin Yeni Tehdit

· 8 dakika okuma · 0
3CX Tedarik Zinciri Saldırısı: Supply Chain Riski Kurumlar İçin Yeni Tehdit

Merhaba,

2023 yılının en çok konuşulan siber güvenlik olaylarından biri şüphesiz 3CX tedarik zinciri saldırısı oldu. Bu olayı bu yazımda elimden geldiğince aktarmak istedim çünkü kurumsal IT açısından çok önemli dersler içeriyor.

Ne Oldu ?

3CX, dünya genelinde 600.000'den fazla şirketin kullandığı popüler bir VoIP (internet üzerinden ses iletişimi) yazılımı. Mart 2023'te güvenlik araştırmacıları 3CX'in resmi masaüstü uygulamasının kötü amaçlı kod içerdiğini tespit etti.

Kritik nokta şu: Kullanıcılar herhangi bir phishing maili açmadı, şüpheli bir bağlantıya tıklamadı. Sadece kullandıkları meşru yazılımı güncellediler. Ve bu güncelleme içinde trojan vardı.

Saldırı Nasıl Gerçekleşti ?

Araştırmalar derinleştikçe tablo daha da karmaşık hale geldi. 3CX'in yazılımı, Trading Technologies adlı başka bir şirketin trojanize edilmiş yazılımı aracılığıyla tehlikeye düşmüştü. Yani saldırı zinciri şöyle işledi:

  • Saldırganlar (sonradan Kuzey Kore bağlantılı Lazarus Group olduğu tespit edildi) önce Trading Technologies'ı tehlikeye attı
  • Trading Technologies yazılımı aracılığıyla 3CX geliştiricisinin iş bilgisayarına sızdılar
  • Oradan 3CX'in build pipeline'ına eriştiler ve derleme sürecine kötü amaçlı kodu eklediler
  • İmzalı, meşru görünen 3CX güncellemesi dünya genelinde kullanıcılara dağıtıldı

Bak bu kısım önemli arkadaşlar: Saldırganlar sisteme girdikten sonra aylarca sessiz kaldı. Tespit edilmeden önce çok sayıda şirkete sızmış olabilirler.

Kurumlar İçin Çıkarılacak Dersler

Bu olay tedarik zinciri güvenliği konusunda çok net mesajlar veriyor:

  • Yazılım güncelleme ≠ güvenli: Resmi kanaldan gelen, dijital imzalı bir güncelleme bile tehlikeli olabilir. Bu gerçeği sindirmek zor ama göz ardı edilemez.
  • Vendor güvenliği sizin güvenliğiniz: Kullandığınız her üçüncü parti yazılım bir attack surface. Bu yazılımların güvenlik duruşunu değerlendirmeniz gerekiyor.
  • EDR ve Network Monitoring: 3CX saldırısını erken tespit eden şirketler ağ trafiği anomalilerini izleyenler oldu. Uç nokta tespiti hayat kurtardı.
  • Allowlisting: Hangi uygulamaların kurumsal sistemlerde çalışabileceğini beyaz liste ile kontrol etmek bu tür saldırıları kısıtlıyor.

Tedarik Zinciri Güvenliği Nasıl Yönetilmeli ?

Elimden geldiğince pratik tutayım:

  • Kullandığınız kritik yazılımların vendor'larına güvenlik soruları sorun. SOC 2 raporu var mı? Penetrasyon testi yapıyor mu? Build pipeline'ı güvenli mi?
  • Yazılım envanterinizi tutun. Hangi uygulamanın hangi sistemde kurulu olduğunu bilmeden etki analizi yapılamaz.
  • Zero-trust yaklaşımı: Kurum içi bir yazılım bile ağda sınırlı yetkiyle çalışmalı, ihtiyaç duyduğundan fazla erişimi olmamalı.
  • SBOM (Software Bill of Materials): Kullandığınız yazılımların bileşen listesini talep edin. Bu henüz yaygınlaşmadı ama düzenleyiciler bu yönde ilerliyor.

Umarım faydalı olmuştur. İyi Günler Dilerim,

Bu yazıyı paylaş:

X'te Paylaş LinkedIn