23 Şubat 2023

Siber Güvenlik Bülteni - Ocak 2023

 

Bültenimizin Ocak Ayı konu başlıkları; 
    • Ransomware, VMware ESXi Sunucularını Vuruyor
    • Fortinet Kullanan Kamu Kurumları Dikkat!
    • Yandex Kaynak Kodları Sızdırıldı
    • F5 BIG-IP Cihazlarında Yüksek Zafiyet

    Ransomware VMware ESXi Vuruyor

    Fransız Siber Olaylara Müdahele Ekibi (CERT-FR), saldırganların fidye yazılımı saldırıları için VMware ESXi sunucularını hedeflediği konusunda uyarıda bulundu. CERT-FR, saldırganların bu saldırıda CVE-2021-21974 referanslı güvenlik açığını kullandığını bildirdi.

    Bu zafiyet; OpenSLP'de bulunan yığın taşması (heap-overflow) zafiyeti içermektedir. ESXi ile aynı ağda bulunan ve 427 numaralı porta erişimi olan saldırgan bu zafiyeti tetikleyerek uzaktan kod yürütümesine olanak sağlayabilir.

    Etkilenen Sistemler;
    • ESXi70U1c-17325551'den önceki ESXi 7.x versiyonları 
    • ESXi670-202102401-SG'den önceki ESXi 6.7.x versiyonları
    • ESXi650-202102101-SG'den önceki ESXi 6.5.x versiyonları

    Yapılacaklar;
    • Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişim izni vermek (https://kb.vmware.com/s/article/76372)
    • ESXi versiyonunu en son sürüme güncellemek
    • Verileri erişilemez şekilde yedeklemek
    • Güvenilir IP adreslerine gerekli servislerin ACL ile filtrelemek
    • Anomali davranışlarını takip etmek

    Fortinet Kullanan Kamu Kurumları Dikkat!

    Fortinet araştırmacıları, saldırganların yakında zamanda yamalanan FortiOS SSL-VPN (CVE-2022-42475) zafiyetini kullanarak kamu kurumlarına siber saldırı yaptığını belirtti. Bu zafiyet, yığın taşmasına sebep olarak uzaktan kod çalıştırmaya olanak sağlamaktadır.

    Zafiyet FortiOS 7.2.3'ün yayınlaması ile kapatıldı, fakat henüz güncelleme yapılmamış çok sayıda sistem de mevcut.

    Belirtilen zafiyetin daha önce de Dark Web üzerinden dağıtılarak, hedef ağlar üzerinde izinsiz erişim için kullanıldığı bilinmektedir. Zararlı yazılım ile aynı zamanda; tespitlerden kaçınmak için günlük kayıtlarını silme, engelleme, manipüle ve gerçekleştirilen işlemlere veri enjekte edebilmektedir.
     

    Yandex Kaynak Kodları Sızdırıldı

    Yandex kaynak kodları illegal bir forum sitesinde paylaşıldı. Paylaşılan verilerin Temmuz 2022'de ele geçirildiği ve 44.7 GB olduğu bilgisi paylaşıldı. Yandex herhangi bir hacklenme vakası olmadığını, eski bir çalışanın verileri sızdırdığını iddia etti.

    Kodları Sızdırılan Yandex Ürünleri;

    Yandex Arama Motoru ve İndeksleme Botu
    Yandex Haritalar
    Alice
    Yandex Taxi
    Yandex Direct
    Yandex Mail
    Yandex Disk
    Yandex Market
    Yandex Travel
    Yandex360
    Yandex Bulut
    Yandex Pay
    Yandex Metrika

    Yandex kodların ana kodlar ile uyum sağlamadığını dile getirsede farklı güvenlik ve yazılım uzmanları büyük benzerlik olabileceğini ve bu kodlar sayesinde yeni zafiyetlerin keşfedilebileceğini dile getirdi.

    F5 BIG-IP Cihazlarında Yüksek Zafiyet

    Kurumsal güvenlik uzmanı ve ağ ürünleri şirketi olan F5 ürünleri üzerinde yüksek zafiyet tespit edildi. F5 BIG-IP cihazlarını etkileyen yüksek dereceli zafiyetler DoS saldırısına ve uzaktan kod yürütmeye olanak sağlamakta.

    iControl SOAP arayüzünden kaynaklanan zafiyet, saldırganın iControl SOAP CGI sürecinin etkilenmesine ve uzaktan rastgele kod yürütmeye olanak sağlamaktadır. Zafiyet CVE-2023-22374 kodu ile takip edilebilir.

    Geçici bir çözüm olarak şirket; kullanıcıların iControl SOAP API'ye erişimi yalnızca güvenilen kullanıcıların erişimine kısıtlamasını önerdi.

    Etkilenen BIG-IP Sürümleri

    13.1.5
    14.1.4.6 - 14.1.5
    15.1.5.1 - 15.1.8
    16.1.2.2 - 16.1.3 ve
    17.0.0

    Popüler Yayınlar