Vietnam’ın en büyük kripto ticaret platformlarından biri olan ONUS, yakın zamanda savunmasız bir Log4j sürümünü çalıştıran ödeme sistemine yönelik bir siber saldırıya uğradı.
Çok geçmeden, tehdit aktörleri ONUS’a 5 milyon dolarlık şantaj yapmak için yaklaştı ve ONUS’un uymayı reddetmesi halinde müşteri verilerini yayınlamakla tehdit etti.
Şirketin fidye ödemeyi reddetmesinin ardından tehdit aktörleri, forumlarda satışa sunulan yaklaşık 2 milyon ONUS müşterisinin verilerini yayınladı.
Ödeme yazılımı, güvenlik açığı bulunan bir log4j sürümünü çalıştırdı
9 Aralık’ta, PoC istismarı kötü şöhretli için Log4Shell güvenlik açığı (CVE-2021-44228) GitHub’a sızdırıldı. Ve bu, fırsatçı saldırganların dikkatini çekti. toplu tarama savunmasız sunucular için internet.
11-13 Aralık arasında, tehdit aktörleri ONUS’un bir Cyclos sunucusundaki Log4Shell güvenlik açığından başarıyla yararlandı ve sürekli erişim için arka kapılar yerleştirdi.
Cyclos, bir dizi satış noktası (POS) ve ödeme yazılımı çözümleri sunar ve çoğu satıcı gibi, yazılımlarında savunmasız bir log4j sürümü kullanıyordu.
Cyclos bir yayınlamış olsa da danışma 13’ünde ve bildirildiğine göre ONUS’a sistemlerini düzeltmesi için bilgi verdi, ancak çok geçti.
ONUS’un Cyclos örneğini yamalamasına rağmen, maruz kalma penceresi, tehdit aktörlerinin hassas veritabanlarını sızdırması için yeterli zaman tanıdı.
Bu veri tabanları, E-KYC (Müşterinizi Tanıyın) verileri, kişisel bilgiler ve hashlenmiş şifreler dahil olmak üzere yaklaşık 2 milyon müşteri kaydını içeriyordu.
Bankalar ve FinTech şirketleri tarafından kullanılan E-KYC iş akışları, tipik olarak, otomatik doğrulama için bir ‘video selfie’ ile birlikte müşterilerden bir tür kimlik belgesi ve kanıt temin etmeyi içerir.
İlginç bir şekilde, Log4Shell güvenlik açığı “yalnızca programlama amacıyla” kullanılan bir sanal alan sunucusunda mevcuttu, ancak bir sistem yanlış yapılandırması nedeniyle saldırganların üretim verileriyle hassas veri depolama konumlarına (Amazon S3 kovaları) daha fazla erişmesine izin verdi.
ONUS’un daha sonra, karşılamayı reddettikleri 5 milyon dolarlık gasp talebiyle tokatlandığı bildirildi. Bunun yerine şirket, saldırıyı özel bir Facebook grubu aracılığıyla müşterilerine açıklamayı seçti.
ONUS CEO’su Chien Tran, “Güvenliği ilk sıraya koyan bir şirket olarak, müşterilerimize ticari operasyonlarda şeffaflık ve dürüstlük sağlamayı taahhüt ediyoruz” dedi.
“Bu nedenle, dikkatli bir şekilde değerlendirdikten sonra, şimdi yapmamız gereken doğru şey, tüm ONUS topluluğunu bu olay hakkında bilgilendirmek.”
Açıklamanın bir kopyası, eklenmiş kaba bir İngilizce çeviri ile birlikte BleepingComputer tarafından elde edilmiştir:
Yanlış yapılandırılmış Amazon S3 paketleri
Hack’in kendisi, tek başına bir Log4j sorunundan biraz daha fazlasıdır. Log4j istismarı, saldırganların giriş noktası olabilir, ancak ONUS’un Amazon S3 kovalarındaki uygunsuz erişim kontrolü, saldırganların gereksiz erişime izin verdi.
ONUS, “Bilgisayar korsanı, korumalı alan sunucusuna girmek için ONUS sistemindeki bir dizi kitaplıktaki bir güvenlik açığından yararlandı (yalnızca programlama amacıyla),” diye açıklıyor ONUS.
“Ancak, bir yapılandırma sorunu nedeniyle bu sunucu, kötü adamların veri depolama sistemimize (Amazon S3) erişmesine izin veren ve bazı önemli verileri çalan bilgiler içeriyor. Bu, çok sayıda kullanıcının kişisel bilgilerinin sızdırılması riskine yol açıyor. “
Tehdit aktörleri tarafından alınan müşteri bilgileri şunları içerir:
- İsim
- E-posta ve Telefon numarası
- Adres
- KYC bilgileri
- şifreli şifre
- İşlem geçmişi
- Ve diğer bazı şifreli bilgiler
ONUS’a hizmet veren siber güvenlik firması CyStack, kapsamlı bir soruşturma yürüttü ve bulgularını yayınladı saldırı mekaniği ve saldırganlar tarafından yerleştirilen arka kapı üzerinde.
2 milyona yakın müşteri kaydı satışa çıktı
25 Aralık’a kadar, ONUS’tan şantaj miktarını güvence altına almayı başaramayan tehdit aktörleri, BleepingComputer tarafından görüldüğü gibi müşteri verilerini bir veri ihlali pazarında satışa çıkardı:
Tehdit aktörleri, müşterilerin kişisel bilgileri ve şifreli şifreleri ile 395 ONUS veritabanı tablosunun kopyalarına sahip olduklarını iddia ediyor.
Bu tür verilerin örnekleri, BleepingComputer tarafından görülen forum gönderisinde tehdit aktörü tarafından yayınlandı.
Örnekler ayrıca müşterilerin kimlik kartlarının, pasaportlarının ve KYC süreci sırasında temin edilen müşteri tarafından gönderilen video selfie kliplerinin resimlerini de içeriyordu.
“İçtenlikle özür diliyor ve anlayışınızı umuyoruz” devletler ONUS.
“Bu aynı zamanda kendimizi gözden geçirmemiz, sistemi yükseltmemiz ve özellikle sistemden geçiş sırasında kullanıcılarımızın güvenliğini sağlamak için sistemi daha da mükemmelleştirmemiz için bir fırsat. VNDC’den ONUS’ye dönüştürücü“
CyStack’in ONUS’a önerileri arasında, satıcı tarafından talimat verildiği şekilde Cyclos’ta Log4Shell güvenlik açığının yamalanması, sızdırılmış AWS kimlik bilgilerinin devre dışı bırakılması, AWS erişim izinlerinin doğru şekilde yapılandırılması, tüm hassas S3 kovalarına genel erişimin engellenmesi ve ek kısıtlamalar getirilmesi yer aldı.
Şimdiye kadar log4j güvenlik açıklarından her türlü tehdit aktörü tarafından istismar edildi. devlet destekli hackerlar ile fidye yazılımı çeteleri ve birkaç kişi daha kripto madencilerini enjekte et savunmasız sistemlerde.
Conti fidye yazılımı çetesinin de izlediği görüldü savunmasız VMWare vCenter sunucuları sömürü için.
Log4j kullanıcıları hemen en son sürüm 2.17.1’e (Java 8 için) yükseltme yapmalıdır. dün yayınlandı. Düzeltmeyi içeren backported 2.12.4 (Java 7) ve 2.3.2 (Java 6) sürümlerinin kısa süre içinde yayınlanması bekleniyor.