02 Kasım 2022

Siber Güvenlik Bülteni - Ekim 2022

 

Bültenimizin Ekim ayı konu başlıkları; 

    • Parlamentoya Siber Saldırı
    • 1 Milyon Chrome Kullanıcısı Risk Altında
    • Binance'da Büyük Vurgun
    • 65.000 Şirket Yanlış Yapılandırma Kurbanı

    Parlamentoya Siber Saldırı

    Geçtiğimiz günlerde yine herkesi şaşırtmaya devam eden siber saldırılardan biri gerçekleşti. Rusya - Ukrayna savaşı devam ederken, paralelinde siber savaş devam ediyor. 

    Büyük bir siber saldırı Slovakya ve Polonya parlamentosunu vurdu. Siber saldırı sonucunda parlamento bilişim sistemleri ve telefon hatları ulaşılamaz hale geldi. Bu saldırının gerçekleştiği esnada yapılmak üzere olan yasa tasarısı oylaması oturumuna ara verilmek durumunda kalındı.

    Saldırının arkasında Rusya olduğu iddia edilirken, oylama sistemine yapılan saldırı ile oylamada manipülasyonun da etkili olabileceği üzerine hızlı bir araştırma başlatıldı. 

    Dünya üzerinde çevrimiçi oylama talepleri her geçen gün artarken, bu tür saldırılar seçim güvenliği açısından birçok kişiyi de tedirgin etmeye devam etmektedir.

    1 milyon Chrome Kullanıcısı Risk Altında

    Web tarayıcılar, siber dünyaya açılan ilk kapımız olarak kullanım ihtiyacına hizmet etmeye devam ediyor. Her geçtiğimiz yıl insanların gizlilik ve güvenilirlik ilkesine olan ihtiyaçları yeni ve çeşitli web tarayıcılarının hayatımıza girmesine olanak sağlıyor. 200'ün üzerinde web tarayıcı bulunmaktadır.

    Bu web tarayıcılarda özelleştirme ihtiyaçlarınıza istinaden eklentiler kurulabilir hale gelmiştir ve eklentiler dışarıdan da geliştirilebilmektedir.

    Renk özelleştirme seçeneği sunan 1 milyon yüklemeye ulaşmış 30 tarayıcı eklentisinin zararlı reklam kampanyasına hizmet ettiği ortaya çıktı. Bu zararlı reklam kampanyasına "Dormant Colors" ismi verildi.

    Şimdiye kadar zararlının çalışma şekli; kurbanın arama sonuçlarını toplayıp, farklı alanlara reklam ile yönlendirerek trafiğinin satışını sağlamaktır. Fakat web tarayıcıya yerleştiği an itibariyle kurbanın banka bilgileri, sosyal medya hesapları, Google Workspace, Microsoft 365 gibi sık kullandığı kritik uygulama bilgilerini de çalmak için kimlik avı sayfalarına yönlendirerek sosyal mühendislik yöntemi ile ele geçirilebileceğini de unutmamak gerekiyor.

    Binance'da Büyük Vurgun

    Dünyanın en büyük kripto para borsası Binance, siber korsanlar tarafından 566 milyon dolar çalındığı iddia edildi. Varlıkların bağımsız blok zincirinden diğerine transferini kolaylaştırmak için tasarlanan BNB Zinciri ve Binance Akıllı Zinciri olarak da bilinen Binance blok zinciri, BSC Token Hub çapraz zincir köprüsünü etkileyen bir zafiyet keşfedildi. Bu keşif sonrası Bİnance işlemleri ve fon transferlerini askıya aldı.

    BSC Token Hub köprüsündeki zafiyetten faydalanan siber korsanlar sahte mesaj oluşturmasına ve yeni BNB jetonları basmasına olanak sağladı. Yaklaşık 2 milyon BNB aktarmaya çalışan siber korsanlar, Binance'ın işlemlerinin durdurulmasının akabinde 110 milyon doları başarılı olarak aktarırken geri kalan 430 milyon dolar paranın ise aktarımının engellendiği duyuruldu.

    Daha önce de benzer metotlar ile birçok kez farklı borsalardan vurgun yapıldı. Şimdiye kadar kripto para borsalarından yaklaşık 2 milyar dolarlık kripto para çalındı.

    65.000 Şirket Yanlış Yapılandırma Kurbanı

    Herhangi bir ürünün kullanımı konusunda sağlanan fayda kurum çalışanlarının ürün hakkındaki yetkinliği veya destek alınan entegratörün yetkinliği düzeyinde olmaktadır. Birçok güvenlik odaklı üründe bile, savunma amaçlı konumlandırılan ürünlerin yanlış yapılandırılması sonucunda kurumu korumak yerine, saldırı hedefi haline getirmektedir.

    Microsoft, yanlış yapılandırma sonucu 65.000 şirketin verilerinin açığa çıktığını doğruladı. SOCRadar bu veriler arasında faturalar, müşteri bilgileri, ürün sipariş bilgileri, müşteri sözleşmeleri gibi kritik verilerinde bulunduğu yaklaşık 2,4 TB bir verinin açığa çıktığını belirtti. Konuyla alakalı olarak tespit edilen müşterilere bilgilendirme yapıldı. Henüz herhangi bir saldırı girişimi tespit edilmedi, fakat bu tür verilerin gizli şekilde satıldığı bilinmektedir, ayrıca bu veriler ile önümüzdeki dönemlerde kurumlara ciddi bir saldırı planı çıkartacağını da unutmamak gerekmektedir.

    Kurumların bulut sistemlere geçişlerinde, tedarikçi firmanın sadece alan verdiğini, güvenlik, yapılandırma ve süreç yönetimi konularının satın alan kuruma ait olduğu unutulmamalıdır. Bu yanlış algılar sonucunda birçok kurum buluta geçiş ile birlikte güvenliğin tamamen tedarikçi tarafından karşılanacağı yanılgısı birçok kez verilerin açığa çıkmasına sebebiyet vermiştir.

    Yayınlayan: Yayın Tarihi:
    Labels: , , ,

    07 Ekim 2022

    Siber Güvenlik Bülteni - Eylül 2022

     

    Bültenimizin Eylül ayı konu başlıkları; 
      • Microsoft Exchange Zafiyetleri İstismar Edildi
      • LastPass Ağında 4 Gün
      • Uber'de Güvenlik İhlali
      • Cisco'da Fidye Yazılımı Krizi

      Microsoft Exchange Zafiyetleri İstismar Edildi

      Microsoft, Exchange Server 2013, 2016 ve 2019 versiyonlarında, yakın zamanda ortaya çıkan iki farklı sıfır gün (zero-day) güvenlik açığının istismar edildiğini doğruladı.

      CVE-2022-41040 (SSRF) ve CVE-2022-41082 (RCE) zafiyetleri ile ilgili (yazımız hazırlanırken henüz bir yama yayınlanmamış idi) gelişmeleri aşağıdaki linkler üzerinden takip edebilirsiniz.

      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

      Microsoft, Exchange müşterilerinin "URL Rewrite Instructions" konusunun incelenmesini ve uygulanmasını, açık olan Uzak PowerShell portlarının ise engellenmesini öneriyor.

      Bilinen Saldırı Metotlarını Engelleme için ise; IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions bölümüne engelleme kuralı eklenmesi gerekmekte.


      Güvenlik Açığı Bulunan Sunucularda;

      1. IIS Manager açın
      2. Default Web Site'ı genişletin
      3. Autodiscover seçin
      4. Feature View menüsünde URL Rewrite'ı tıklayın
      5. Sağ taraftaki Action bölmesinde, Add Rules'ı tıklayın
      6. Request Blocking'i seçin ve tamam'a tıklayın
      7. String olarak .*autodiscover\.json.*\@.*Powershell.*” ekleyin ve tamam'a tıklayın.
      8. Kuralları genişletin ve ".*autodiscover\.json.*\@.*Powershell.*" kuralını seçin ve Edit under Conditions'a tıklayın.
      9. {URL} olan koşul girişini {REQUEST_URI} ile değiştirin.


      Uzaktan PowerShell erişimini engellemek için ise HTTP: 5985 HTTPS: 5986 portlarını engelleyin.


      Exchange sunucularınızın ihlalinin kontrol etmek için IIS günlük dosyalarında tarama için aşağıdaki PowerShell komutunu çalıştırabilirsiniz.

      Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

      LastPass Ağında 4 Gün

      LastPass, Ağustos ayında yaşadığı güvenlik ihlalinde saldırganların tespit edilip, sistemden temizlenene kadar yaklaşık 4 gün ağda kaldıklarını açıkladı.

      Geçtiğimiz aylarda LastPass, sistemlerine izinsiz erişim olduğunu tespit ettiğini açıkladı, saldırganların müşteri verilerine veya şifreli parola kasalarına erişimine dairse herhangi bir kanıt olmadığını açıkladı. Ayrıca bu saldırıda saldırganların geliştirme ortamına girdiği de belirtildi.

      Yapılan araştırmalardan, saldırganın LastPass yazılım geliştiricisinin hesabını ele geçirmesi yoluyla geliştirme ortamına ağ erişimi sağladığı tespit edildi. Bu erişim sonucunda kaynak kodun bir kısmının ve bazı özel teknik bilgilerin de sızdırıldığı düşünülüyor.

      LastPass'in dünya çapında 30 milyondan fazla kullanıcısı bulunuyor. LastPass kullanıcılarının -henüz devrede değil ise- 2 adımlı doğrulamayı mutlaka devreye almasını öneriyoruz.

      Kullanıcıların bu türde bir saldırıda alabileceği en etkili önlem 2 adımlı doğrulama sistemini kullanmaktır. Kullanıcıların bu veya benzeri tüm üye olunarak kullandıkları servislerde -eğer varsa- 2 adımlı doğrulamayı mutlaka devreye almasını önermekteyiz.

      Uber'de Güvenlik İhlali

      Dünyanın en büyük taksi servisi Uber tekrar hacklendi. 2016 yılında hacklenen ve bunu gizleyen ve hackerlara bunun için ödeme yapan Uber yeni bir saldırı ile karşı karşıya kaldı.

      Bu tür saldırıları gizlemesi ile bilinen Uber, bu seferki saldırının açığa çıkmasıyla bir açıklama yaparak tekrar sessizliğe büründü.

      Uber çalışanlarından olan bir kişiye yapılan sosyal mühendislik saldırısı ile erişim bilgilerine ulaşıldı ve yetki sağlandı. Bu yetki ile izinsiz şekilde şirkete ait Slack kanallarına, yedeklenmiş dosyalara, müşteri kayıtlarına, Amazon Web Servislerine erişim bilgilerine, şirket sistemlerine ait zafiyet raporları gibi oldukça kritik bilgilere erişildi.

      Bu bilgilerin sosyal medya üzerinde bir hesap tarafından ekran görüntüleri ile paylaşılmasından sonra da Uber saldırıyı doğruladı.

      ---
      Firmalarda personelin, bayilerin veya tedarikçilerin kullanımına özgü olan, halkın geneline açık olmayan sunuculara daha güvenli erişim sağlanabilmesi, bu tip saldırılara karşı ek bir güvenlik katmanı olarak koruma sağlaması amacıyla geliştirdiğimiz son ürünümüz TINA Güvenlik Katmanı hakkında bilgi almak ve İnternet üzerinden gelebilecek olan saldırılara karşı mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşabilmemiz için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      Cisco'da Fidye Yazılımı Krizi

      Ağustos ayında Cisco bir güvenlik ihlali açıkladı, Yanluowang fidye yazılımı çetesi Mayıs sonunda şirket ağını ihlal ederek, şirket sunucularından birçok veriyi sızdırdı.

      Cisco güvenlik ekipleri yaptıkları inceleme sonucunda şirket çalışanlarından bir kişinin kişisel hesabına erişim sağlanması sonucunda, 2 adımlı doğrulamanın da sosyal mühendislik ile atlatması yoluyla saldırgan grubun şirket hesaplarına da erişim sağladığını belirtti.

      Kullanıcının VPN hesabı ile firma ağına sızan saldırgan grup, LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz ve İmpacket gibi araçlar ile de ağa erişimini güçlendirdi.

      Saldırgan grup, gizli belgeler, teknik şemalar ve kaynak kodu içeren 55 GB'lik dosya sızdırdığını iddia etmekte, ancak Cisco bunu reddederek  çalınan verilerin hassas bilgiler içermediğini ve güvenlik ihlalinin işletme üzerinde hiçbir etkisi olmadığını belirtti.

      Siber Saldırılara Karşı
      TINA Çözümlerimiz

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , , ,

      03 Ağustos 2022

      Siber Güvenlik Bülteni - Temmuz 2022

      Bültenimizin Temmuz ayına ait başlıkları; 
        • Bir Milyar Kişinin Verileri Sızdırıldı
        • AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu
        • Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı
        • Sahte İş İlanları Can Yakmaya Devam Ediyor
        • FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

         Bir Milyar Kişinin Verileri Sızdırıldı.

        Veri sızıntı haberlerini neredeyse her gün görmeye başladık. Big Data (büyük veri) kavramıyla birlikte yoğun olarak veriler dijital ortama aktarılmaya başlandı. Bu dijitalleşme esnasında ise veriler yönetilemeyen ve korunamayan bir hale geldi. Bu durumun son vakası da şimdiye kadar en büyük ihlallerden biri olan 1 milyara yakın Çin vatandaşının verilerinin ifşası oldu.
         
        Veri sızıntısının Polis sisteminde tespit edilen bir arka kapı aracılığıyla gerçekleştiği düşünülmektedir. Online olarak yayınlanan veritabanında kullanıcılar istediği kişinin verilerine ulaşabilir hale geldi. Bir hacker forumunda 23 terabayttan fazla verinin de "10 BTC karşılığı satılık" ilanı verilmesi sonucu web sitesi erişime kapatıldı.

        Çalınan veritabanının Şanghay polisi tarafından derlendiği ve veritabanında vatandaş isimleri, adresleri, cep telefonları, ulusal kimlik numaraları, doğum tarihleri ve yerleşim yerlerinin yanı sıra polis ile yapılan telefon görüşmesi kayıtlarının da yer aldığı iddia edildi.

        AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu

        Fidye yazılımı saldırıları ve talep edilen miktarlar artmaya ve boyut değiştirmeye devam ediyor.

        Fidye yazılımı grubu AstraLocker geçtiğimiz ay fidye saldırılarını durdurduğunu ve daha önceki saldırılara ilişkin şifre çözücülerini yayınladığını duyurdu. Artık fidye yazılımları yerine, operasyonlarına kripto hırsızlığı tarafında devam edeceğini açıkladı.

        Daha önce bu tür karar alan gruplara yine şahit olmuştuk, bunların altındaki en büyük neden kolluk kuvvetlerinin yoğun baskılarının ve çalışmalarının olduğunu biliyoruz. Fakat bazı grupların operasyonları durdurma kararı sonrası, ekipten ayrılanların yine farklı gruplar halinde saldırılara devam ettiği de görülmektedir.

        AstraLocker 2.0 adıyla Microsoft Word belgeleri kullanarak oltalama saldırılarıyla karşılaşmıştık. Birçok fidye yazılımı grubu gibi AstraLocker'ın da Monero kullandığı bilinmektedir.

        Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı

        Fortinet çeşitli ürünlerinde çıkan zafiyetler için yama yayınladı. Bu zafiyetlerden etkilenen ürünler; FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder ve FortiVoiceEnterprise.

        Yaması yayınlanan zafiyetlerin 4'ü yüksek önem derecesine sahiptir, bunlar; CVE-2022-26117CVE-2021-43072, CVE-2022-30302 ve CVE-2021-41031'dir.

        Daha öncede Fortinet VPN cihazlarındaki zafiyetler kullanılarak, iç ağa sızılmış ve fidye yazılımı saldırısı gerçekleştirilmiş, birçok şirket mağdur olmuştu.


        Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        Sahte İş İlanları Can Yakmaya Devam Ediyor

        Pandemi dönemiyle birlikte ülkemizde de uzaktan çalışma popüler hale geldi. Pandeminin son günlerde vaka sayılarının azalmasıyla birçok şirket ofislerine dönmeye başladı ve bazı çalışanlar bu durumdan çokta memnun kalmadı ve yeni iş arayışına girmeye başladı.

        Tam da buradaki insan odaklı zafiyeti gören saldırgan gruplar sahte iş ilanları oluşturup, bir başvuru formu gibi PDF olarak görünen zararlı yazılımları göndermeye başladı. Çok iyi ücretler ve imkanlar teklif eden saldırgan gruplar ağına birçok kıdemli çalışanı düşürmeyi başardı. Bu süreçte ağırlıklı kripto para borsalarında çalışanlara gerçekleştirilen saldırılar ile ağa sızan saldırgan gruplar kripto borsalarından milyonlarca dolarlık kripto para çaldılar.

        Ayrıca yapılan açıklamada blok zinciri projelerinin bu tür saldırılar ve zafiyetlerden kaynaklı kaybının yılın ilk altı ayında 2 milyar dolardan fazla olduğu belirtiliyor.

        Benzer saldırıları da yoğun olarak ülkemizde görmekteyiz. Kullanıcıları hedefleyen saldırganların en aktif kullandığı alanlar E-posta, Linkedin ve SMS olarak karşımıza çıkıyor. Kullanıcılara özel olarak hazırlanmış dosyaları veya linkleri paylaşan saldırgan gruplar, bu kullanıcılar aracılığıyla hem kullanıcıları hem de çalıştıkları şirkete sızmaya olanak sağlamış oluyor.

        FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

        Şirketlerin akıllı cihazlara olan ihtiyacı her geçen gün artıyor. Bu cihazlara olan ihtiyaçlar haliyle kurumların dışarı açık başka bir kapı oluşturuyor, bunun için ise birçok kurum cihazların güvenliğini sağlamak adına MDM Cihaz Yönetimi (Mobile Device Management) çözümlerine başvuruyor.  Bu çözümler sayesinde BT ekibi merkezi bir sunucu üzerinden cihazların işletim sistemlerinin, güncellemelerin ve kullanılan uygulamaların yönetilmesine olanak sağlıyor ve şirketler bu şekilde hem cihazları hem de çalışanlarını ve bilgilerini kontrol altına alabiliyor. 

        Geçtiğimiz hafta FileWave'in MDM ürününde iki kritik zafiyet tespit edildi; kimlik doğrulama atlatma zafiyeti (CVE-2022-34907) ve sabit kodlanmış şifreleme anahtarı zafiyeti (CVE-2022-34906). Araştırmalara göre ürünü kullanan büyük işletmeler, eğitim ve devlet kurumları da dahil 1.100'den fazla kurum bu zafiyetlere maruz kaldı ve/veya kalabilir durumda.

        Şirket hızlıca bir güncelleme yayınladı ve kullanıcıların acil olarak sürümlerini güncellemelerini önerdi. Bu tür 3. parti ürünlerin güvenlik amaçlı kullanımı sırasında bir anda bir silaha dönüşebileceğinin farkında olunması ve bu doğrultuda planlama yapılmasının unutulmaması gerekiyor.

        Bu zafiyetler sonucu kurum ağına sızılarak tüm ağda tam yetki tanımı yapılarak ağda istenilen aksiyon alınabilir, bu testlerde ise kanıtlandı ve kurum ağında yetkiyi alan güvenlik uzmanları tüm ağa ransomware bulaştırmayı başardı.

        Geçtiğimiz yıl Kaseya tarafındaki zafiyet aracılığıyla birçok kurum etkilenmiş ve bizlere tekrar 3. parti firmalar ile olan çalışmalarda da ne kadar dikkatli olmamız gerektiğini göstermişti.

        Siber Saldırılara Karşı
        TINA Çözümlerimiz

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Labels: , , ,

        06 Temmuz 2022

        Siber Güvenlik Bülteni - Haziran 2022

         

        Bültenimizin Haziran ayına ait başlıkları; 
          • Fidye Yazılım Grupları Taktik Değiştiriyor
          • VPN Servisleri Dert Açmaya Devam Ediyor
          • 900.000 Kubernetes Kümesi Açığa Çıktı
          • QNAP NAS Cihazları Tekrar Hedef Oldu
          • Tedarikçi Saldırıları Artıyor

          Fidye Yazılım Grupları Taktik Değiştiriyor

          Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


          Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

          ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

          Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

          VPN Servisleri Dert Açmaya Devam Ediyor

          Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

          Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

          Yapılan araştırmalara göre;
          • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
          • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
          • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
          • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
          • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

          900.000 Kubernetes Kümesi Açığa Çıktı

          Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

          Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

          Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

          Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

          QNAP NAS Cihazları Tekrar Hedef Oldu

          Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

          QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

          NAS'ınızı saldırılara karşı koruma yöntemleri;
           

          • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
          • Hesaplarınız için güçlü bir parola oluşturmalısınız.
          • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
          • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
          • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

          Tedarikçi Saldırıları Artıyor

          Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

          Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

          TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

          Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

          Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

          Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

          Siber Saldırılara Karşı
          TINA Çözümlerimiz

          Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

          Yayınlayan: Yayın Tarihi:
          Labels: , , , , , , , , ,
          Kaydol: Kayıtlar (Atom)

          Popüler Yayınlar