Son dönemde, popüler bir güvenlik firması olan Cyberhaven’ın Chrome uzantısının hedef alındığı ve kötü amaçlı scriptlerin uzantıya enjekte edildiği rapor edilmiştir. Bu saldırı, kullanıcıların kişisel verilerini çalmayı amaçlamakta ve önemli güvenlik riskleri oluşturmaktadır. Uzantının yaygın kullanımı, bu tür bir siber saldırıyı daha tehlikeli hale getirmektedir.
Cyberhaven Nedir?
Cyberhaven, kurumsal güvenlik çözümleri sağlayan ve özellikle verileri korumaya yönelik gelişmiş analizler sunan bir platformdur. Kullanıcıların internet üzerindeki aktivitelerini izleyerek, potansiyel tehditlere karşı uyarılar sağlar. Chrome uzantısı, web tarayıcıları üzerinden çalışan bu platformun önemli bir bileşenidir ve kurumlar için büyük bir güvenlik önlemi olarak kullanılmaktadır.
Saldırının Teknik Detayları:
Saldırı, Cyberhaven Chrome uzantısının güncel sürümlerinde keşfedilen bir zafiyetin istismarı ile gerçekleştirilmiştir. Uzantının kötü amaçlı yazılımlar tarafından ele geçirilmesi, uzantıya zarar verici scriptlerin enjekte edilmesine olanak sağlamıştır. Bu scriptler, kullanıcının tarayıcı verilerine sızarak, kullanıcı bilgilerini çalmayı amaçlamaktadır.
Etkilenen sürümler, genellikle kullanıcıların web üzerindeki aktivitelerini izlerken, şüpheli verileri analiz eden ve veri akışını yönetmeye çalışan eski uzantılardır. Saldırganlar, kullanıcıların web tarayıcıları ile etkileşime girerek, onlara zararlı scriptler enjekte edebilmektedirler.
Zafiyetin Ciddiyeti:
Bu tür bir güvenlik açığı, kullanıcı verilerinin çalınması ve kurumsal güvenlik politikalarının ihlali gibi ciddi sonuçlar doğurabilir. Uzantı, kullanıcıların tarayıcı geçmişine, çerezlere ve şifre yöneticilerine erişim sağlayarak, kişisel ve kurumsal bilgilere ulaşılmasına olanak tanır. Bu da şirketlerin verilerini ve kullanıcı gizliliğini ciddi şekilde tehdit eder.
Etkilenen Sürümler:
Cyberhaven Chrome uzantısının aşağıdaki sürümleri bu saldırıdan etkilenmiştir:
- Sürüm 1.0.0 – 1.5.0
- Sürüm 2.0.0 – 2.1.3
Etki ve Öneriler:
Uzantının ele geçirilmesi, 24.10.4 sürümünü kullanan tarayıcılarda hassas bilgilerin ifşa olmasına yol açabilirdi. Etkilenen kullanıcılar için Cyberhaven aşağıdaki tavsiyelerde bulunmaktadır:
- Uzantıyı Güncelleyin: Uzantıyı hemen 24.10.5 veya daha yeni bir sürüme güncelleyin.
- Kimlik Bilgilerini Değiştirin: FIDOv2 ile korunmayan tüm şifreleri ve API token’larını iptal edin ve değiştirin.
- Faaliyet Loglarını İnceleyin: Şüpheli bir etkinlik belirtisi arayın.
- Uzantıyı Kaldırmayın: Uzantıyı kaldırmak yerine, adli analiz için faydalı olabilecek adli kanıtları korumak adına uzantıyı tutmaya devam edin.
Cyberhaven, Chrome Web Store dışında barındırılan uzantı sürümlerinin, örneğin Firefox veya Edge sürümlerinin etkilenmediğini onaylamıştır.
Soruşturma ve İşbirlikleri:
Cyberhaven, bu ihlali daha detaylı incelemek için federal kolluk kuvvetleri ve siber güvenlik firması Mandiant ile işbirliği yapmaktadır. Şirket, şeffaflık ilkesine olan bağlılığını vurgulayarak, “Kazandığımız güveni korumak için maksimum şeffaflıkla hareket ediyoruz” şeklinde bir açıklama yapmıştır.
Indicators of Compromise (IOCs):
Secure Annex, saldırının tespiti ve hafifletilmesine yardımcı olacak teknik ayrıntıları paylaşmıştır:
- Kötü Amaçlı Alan Adı: cyberhavenext[.]pro
- IP Adresleri: 149.28.124.84, 149.248.2.160
- Kötü Amaçlı Scriptler: content.js (hash: AC5CC8BCC05AC27A8F189134C2E3300863B317FB), worker.js (hash: 0B871BDEE9D8302A48D6D6511228CAF67A08EC60)
- CRX Paket Hash’ı: b53007dc2404dc3a4651db2756c773aa8e48c23755eba749f1641542ae796398
Diğer Etkilenen Uzantılar:
Blasco’ya göre, saldırganlar tarafından uzantıya eklenen kötü amaçlı kod parçacığı, aynı zamanda diğer Chrome uzantılarına da enjekte edilmiştir:
- Internxt VPN – Ücretsiz, şifreli, sınırsız VPN (10,000 kullanıcı)
- VPNCity – AES 256-bit şifreleme ile gizliliğe odaklanmış VPN (50,000 kullanıcı)
- Uvoice – Anketler ve PC kullanım verileri ile puan kazandıran servis (40,000 kullanıcı)
- ParrotTalks – Metin ve not alma araçlarıyla bilgi arama aracı (40,000 kullanıcı)
Blasco, saldırıyı işaret eden diğer alan adlarını bulmuş ancak yalnızca yukarıdaki uzantıların kötü amaçlı kodu taşıdığı doğrulanmıştır.
Bu uzantıların kullanıcıları, ya uzantıyı tarayıcılarından kaldırmalı ya da 26 Aralık’tan sonra yayınlanan güvenli bir sürüme güncellemelidir. Yayıncının güvenlik sorunu hakkında bilgi sahibi olduğunu ve çözüm getirdiğini teyit ettikten sonra bu güncellemeyi yapmaları önerilir. Şüphe duyulması durumunda, uzantı kaldırılmalı, önemli hesap şifreleri sıfırlanmalı, tarayıcı verileri temizlenmeli ve tarayıcı ayarları varsayılan hale getirilmelidir.
Sonuç:
Cyberhaven Chrome uzantısındaki bu güvenlik açığı, kullanıcıların ve kurumların verilerini ciddi şekilde riske atmaktadır. Bu nedenle, güvenlik açıklarının giderilmesi ve güncellemelerin yapılması önemlidir. Kullanıcılar ve şirketler, uzantıların güvenliğini sürekli olarak izlemeli ve herhangi bir anormallik tespit ettiklerinde hızla müdahale etmelidirler.
Birlikte öğrenelim!
#CyberSecurity #ChromeExtension #MaliciousScripts #NetworkSecurity #GüvenlikAçığı #VeriÇalma #Güncelleme
About the Author
