Siber Güvenlik Bülteni - Nisan 2024

 

Bültenimizin Nisan Ayı konu başlıkları;  Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız   Palo Alto, PAN-OS Zafiyeti Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor Putty Zafiyeti Ivanti MDM Kritik Zafiyet Cisco Duo SMS ve VoIP Sızıntısı

Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız

Oldukça uzun dönem boyunca varlığı fark edilmeyen ve açık kalan bir çok zafiyeti dünyanın önde gelen markalarında, kabul edilebilecek seviyelerin oldukça üzerinde, şaşırtıcı düzeydeki bir sıklıkta gözlemlemekteyiz. Bu durum, marka büyüklüğü ile aynı oranda markaya karşı hissedilen güven duygusunun gözden geçirilmesi gerekliliğini hatırlatmakta. Çeşitli büyük ve bilindik markaları etkileyen sıfır gün açıklarının aktif olarak kullanıldığı ve bu şekilde uzunca dönem boyunca hedeflere sızma ve kalıcı erişim için gizli arka kapılar kurma girişimlerinin başarılı olduğu, sonuçlarıyla ortaya çıktığı gözlemleniyor. Markalarca üretilen güvenlik çözümlerinin, güvenlik camiasınca basit düzeyde olduğu gözlemlenen şaşırtıcı hataları, potansiyel riskleri arttırmakla kalmıyor, aynı zamanda dış ağ ile iç ağ arasındaki ayrımını belirsizleştiriyor, böylece kurumları büyük saldırılara karşı korumak yerine açık bir hedef haline getiriyor. Kullanılan çözüm sayısının artması, IT yöneticilerine satın alma ve kullanım aşamasında ek yük getirdiğinden farklı markalı ürünlerden uzak durulmasına, hatta kontrolün kolay olmasından dolayı "uçtan uca" aynı ürün kullanımına yol açtı. Ancak içeriye sızan bir saldırganın da aynı ürün açıklıkları veya erişim kolaylıkları ile "uçtan uca" ilerleme fırsatıyla baş başa kaldığını unutmamamız gerekiyor. Sistemlerde ortaya çıkan yetkisiz erişimlerin, bilgi çalınmalarının veya sistemlerin zarar görmesi olaylarının, IT yöneticisinin gündelik iş yoğunluklarını ve bütçe harcamalarını çok daha katlanılmaz hale getirdiğini ve işletmeyi daha çok yorduğunu söyleyebiliriz. Ortaya çıkan bu durumlara karşı atılabilecek en önemli adım; çözüm gamında farklı teknolojiler kullanılması ve farklı markalar ile çalışılması, yani kısacası önlemlerin çeşitlendirmesidir.   Sunucu ve servislerinize İnternet üzerinden kısıtlı ve kontrollü erişimini sağlayan yeni güvenlik katmanı TINA ISOLATOR 'ü ücretsiz deneyebileceğinizi hatırlatırız. Yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Palo Alto, PAN-OS Zafiyeti

Palo Alto Networks, 26 Mart'tan beri etkin olarak kötüye kullanılan bir sıfır gün açığı için düzeltmeler yayınlamaya başladı. Bu kritik güvenlik açığı (CVE-2024-3400), cihaz telemetriği ve GlobalProtect (gateway veya portal) etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 duvarlarını etkiliyor. Kimliği doğrulama aşaması öncesinde; saldırganlar kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarda, uzaktan kod çalıştırabilmek için bu zafiyeti kullanabilirler. Şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınladığı düzeltmelerle güvenlik açığını düzeltti. Daha sonraki PAN-OS sürümleri için daha fazla düzeltme yakında yayınlanacak. Palo Alto Networks'un aktif kötüye kullanım uyarısı, bu sıfır gün açığını keşfeden ve tehdit aktörlerinin Upstyle kötü amaçlı yazılımını kullanarak PAN-OS cihazlarına arka kapı bırakarak ağlara sızdığını ve veri çaldığını tespit eden güvenlik firması Volexity tarafından doğrulandı. Siber güvenlik araştırmacıları, CVE-2024-3400 saldırılarına karşı ilk belirlemelere göre savunmasız olan çevrimiçi 82.000'den fazla PAN-OS cihazı bulduğunu belirtti. CISA, CVE-2024-3400'ü Bilinen Sömürülen Güvenlik Açıklıkları (KEV) kataloğuna ekledi ve federal ajanslara tehdit önleme kuralını uygulayarak veya 19 Nisan'da bir hafta içinde telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını tavsiye etti. Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor

Şu anda hacker'lar 3.000'den fazla Fortinet SSL-VPN cihazına yönetici erişimi sunuyorlar. Bu ihlal, uzaktan erişim için bu cihazlara güvenen birçok kuruluşun güvenliğine ciddi bir tehdit oluşturuyor. Bir X hesabından atılan bir tweet, kimliği belirsiz bir hacker grubunun Fortinet SSL-VPN cihazlarındaki güvenlik açıklarını sömürmeyi başardığını gösteriyor. İşletmeler, bu cihazları uzaktan çalışan personelinin kurumsal ağlara güvenli erişimini sağlamak için yaygın olarak kullanıyorlar. Bu ihlal, yetkisiz erişime ve hassas kurumsal verilerin ve iç ağların erişilmesine izin verebilir. Potansiyel Etki Bu cihazlara yönetici erişiminin satılması, veri hırsızlığı, fidye yazılımı saldırıları ve diğer kötü niyetli faaliyetler gibi ciddi sonuçlara yol açabilir. Bu ihlalden etkilenen kuruluşlar, bu ihlal doğru bir şekilde yönetilmezse sadece operasyonel ve finansal verilerini kaybetmekle kalmayacak, aynı zamanda ciddi bir itibar kaybıyla karşı karşıya kalabilirler. Fortinet henüz bu belirli olaya resmi bir yanıt vermedi. Ancak, şirket ürünlerindeki güvenlik açıklarını hızlı bir şekilde yamalar ve güncellemeler aracılığıyla çözmeye çalışmaktadır. Fortinet SSL-VPN cihazlarını kullanan kullanıcılar, şirketten gelen güncellemelere dikkat etmeleri ve güvenlik yamalarını hemen uygulamaları konusunda uyarılıyor. Güvenlik Önerileri Siber güvenlik uzmanları, Fortinet SSL-VPN cihazlarını kullanan kuruluşlar için şu adımları önermektedir: Hemen Denetim Yapın: Tüm Fortinet SSL-VPN cihazları için derhal bir güvenlik denetimi yapın. Yamaları Uygulayın: Tüm cihazların Fortinet'in en son yazılımını ve güvenlik yamalarını çalıştığından emin olun. Gelişmiş İzleme: Şüpheli faaliyetleri hızlı bir şekilde tespit etmek ve yanıtlamak için ağ trafiğini ve alışılmadık erişim desenlerini geliştirilmiş şekilde izleyin. Personel Farkındalığı: Çalışanları olası riskler konusunda eğitin ve onları phishing girişimleri ve diğer sosyal mühendislik taktikleri konusunda dikkatli olmaları konusunda teşvik edin. 3.000 ayrı Fortinet SSL-VPN cihazına yönetici erişiminin satılması, dijital dünyadaki sürekli tehditlerin bir hatırlatıcısıdır. Kuruluşlar, ağlarını hemen güvence altına almalı ve bu tür zafiyetlere karşı verilerini korumalıdır.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Putty Zafiyeti

PuTTY Güvenli Kabuk (SSH) ve Telnet istemcisinin bakımını üstlenen ekip, 0.68'den 0.80'e kadar olan sürümleri etkileyen ve NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tam kurtarımını sağlayabilecek kritik bir açıklığa dikkat çekiyor. Zafiyet CVE-2024-31497 kodu ile takip edilebilir. PuTTY ekibi "açığın etkisi özel anahtarı tehlikeye atmaktır" dedi. İki düzineden biraz daha fazla imzaya ve genel anahtara sahip bir saldırgan, özel anahtarı kurtarmak ve ardından sizin gibi imzalar üretmek için yeterli bilgiye sahip olur, böylece sizin için anahtar kullandığınız herhangi bir sunucuya giriş yapabilirler. Ancak imzaları elde etmek için bir saldırganın anahtarın kimlik doğrulaması için kullanıldığı sunucuyu ele geçirmesi gerekecektir. PuTTY'yi etkilediği gibi, diğer ürünleri de etkiler - FileZilla (3.24.1 - 3.66.5) WinSCP (5.9.5 - 6.3.2) TortoiseGit (2.4.0.2 - 2.15.0) TortoiseSVN (1.10.0 - 1.14.6) Sorumlu açıklamanın ardından, sorun PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ve TortoiseGit 2.15.0.1'de çözüldü. TortoiseSVN kullanıcıları, bir yama kullanılabilir hale gelene kadar SSH aracılığıyla bir SVN deposuna erişirken en son PuTTY 0.81 sürümündeki Plink'i kullanmaları önerilir. Özellikle, bu eski yaklaşım, PuTTY geliştiricileri tarafından belirtildiği gibi, yüksek kaliteli rasgelelik kaynağına ihtiyaç duymadan nonce'u türetme yöntemine sahip olmasına rağmen, P-521 kullanıldığında eğik nonce'lara duyarlı olan deterministik bir yaklaşım kullanarak elde edildi. Bu eski yaklaşım, Microsoft Windows'un kriptografik rasgele sayı üreteci için yerleşik desteğe sahip olmadığı bir dönemde geliştirildi. Zafiyetli bileşenlerle kullanılan ECDSA NIST-P521 anahtarları tehlikeye atfedilmeli ve dolayısıyla bunlar ~/.ssh/authorized_keys dosyalarından ve diğer SSH sunucularındaki karşılıklarından kaldırılarak iptal edilmelidir.

İvanti MDM Kritik Zafiyet

İvanti, Avalanche mobil cihaz yönetimi (MDM) çözümünde 27 güvenlik açığını düzeltmek için güvenlik güncelleştirmeleri yayınladı, bunlardan ikisi uzaktan komut yürütme için kullanılabilen kritik heap taşmaları. Avalanche, kurumsal yöneticilerin 100.000'den fazla mobil cihazı tek bir merkezi konumdan uzaktan yönetmelerini, yazılım dağıtmalarını ve güncellemeleri planlamalarını sağlayan bir çözümdür. İvanti, iki kritik güvenlik açığının (CVE-2024-24996 ve CVE-2024-29204) Avalanche'in WLInfoRailService ve WLAvalancheService bileşenlerinde bulunduğunu açıkladı. İkisi de bellek tabanlı tampon taşma zayıflıklarından kaynaklanmaktadır ve kimlik doğrulaması yapılmamış uzaktan saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla savunmasız sistemlerde keyfi komutlar yürütmesine izin verebilir. Ivanti, uzaktan saldırganların hizmet reddi saldırıları tetikleyebileceği, SYSTEM olarak keyfi komutlar yürütebileceği, bellekten hassas bilgileri okuyabileceği ve uzaktan kod yürütme saldırıları başlatabileceği 25 orta ve yüksek ciddiyetli hataları düzeltti. "Güvenlik açıklarını ele almak için aşağıda listelenen Avalanche sürümüne yükseltmek ve en son Avalanche 6.4.3 sürümüne güncellemek çok önemlidir." İvanti, geçen Aralık ayında Avalanche MDM çözümünde 13 kritik düzeyde uzaktan kod yürütme açığını yamaladıktan sonra, Ağustos ayında topluca izlenen iki başka Avalanche tampon taşması olan CVE-2023-32560'ı düzeltmişti. Hackerlar, bir yıl önce Norveçli birçok hükümet kuruluşunun ağlarını ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) olarak da bilinen MobileIron Core'un iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandılar. Aylar sonra, saldırganlar üçüncü bir MobileIron Core sıfır günü (CVE-2023-35081) ile CVE-2023-35078'i birleştirdiler ve aynı zamanda bir düzine Norveçli bakanlığın IT sistemlerine de sızdılar. "Cep cihazı yönetimi (MDM) sistemleri, binlerce mobil cihaza yükseltilmiş erişim sağladıkları için tehdit aktörleri için çekici hedeflerdir ve APT aktörleri önceki bir MobileIron açığından yararlanmıştır," (CISA'nın eski bir uyarısı.)

Cisco Duo SMS ve VoIP Sızıntısı

Cisco Duo Güvenlik Ekibi, telekomünikasyon sağlayıcılarında gerçekleşen bir siber saldırıda bazı müşterilerin VoIP ve SMS günlüklerinin çalındığını bildiriyor. Cisco Duo, şirket içi ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü kimlik doğrulama ve Tek Oturum Açma (SSO) hizmetidir. Duo'nun ana sayfasına göre, hizmet 100.000 müşteriye hizmet veriyor ve aylık olarak bir milyardan fazla kimlik doğrulaması yapıyor; Google Play'de ise 10.000.000'den fazla indirme rakamına ulaşmış durumda. Müşterilere gönderilen e-postalarda Cisco Duo, 1 Nisan 2024 tarihinde yaşanan bir telekomünikasyon sağlayıcısı üzerindeki siber saldırı hakkında bilgi veriyor. Bildirimde, bir tehdit aktörünün bir avlanma saldırısıyla çalışan kimlik bilgilerini elde ettiği ve ardından bu kimlik bilgilerini kullanarak telekomünikasyon sağlayıcısının sistemlerine erişim sağladığı belirtiliyor. Saldırgan daha sonra 1 Mart 2024 ile 31 Mart 2024 tarihleri arasındaki belirli Duo hesaplarıyla ilişkilendirilen SMS ve VoIP MFA mesaj günlüklerini indirmiş. Sağlayıcı, tehdit aktörünün mesajların içeriğine erişim sağlamadığını veya erişimlerini müşterilere mesaj göndermek için kullanmadığını doğruladı. Ancak, çalınan mesaj günlükleri, kurumsal kimlik bilgilerine erişmek için hedefe yönelik avlanma saldırılarında kullanılabilecek veriler içeriyor. Bu günlüklerde bulunan veriler şunları içerir: Telefon numarası Taşıyıcı Konum verisi Tarih Saat Mesaj türü Etkilenen tedarikçi saldırıyı keşfettiğinde, etkilenen kimlik bilgilerini geçersiz kıldı, etkinlik günlüklerini analiz etti ve Cisco'yu bilgilendirdi. Benzer olayların gelecekte yaşanmasını önlemek için ek güvenlik önlemleri de alındı. Cisco, bu ihlalden etkilenen müşterileri, çalınan bilgileri kullanarak potansiyel SMS avlanma veya sosyal mühendislik saldırılarına karşı dikkatli olmaları konusunda uyarıyor. FBI geçen yıl, tehdit aktörlerinin kurumsal ağlara sızmak için SMS avlanma ve sesli aramaları kullanma konusunda giderek artan bir eğilim gösterdiğini uyardı. 2022 yılında, bir tehdit aktörü bir Uber çalışanında çok faktörlü kimlik doğrulama yorgunluğu saldırısı gerçekleştirdikten sonra onlara WhatsApp üzerinden telefon numarasıyla iletişime geçerek, IT yardım masası personeli gibi davranarak, sonunda hedefin hacklere hesaba giriş yapmalarına ve Uber'in sistemlerine erişmelerine izin verdi. Cisco, bu olaydan etkilenen tedarikçinin adını ve bu olaydan etkilenen net müşteri sayısını açıklamadı. Cisco, Duo'nun müşterilerinin yaklaşık %1'ini etkilediğini bildirdi. Şirketin 100.000 kullanıcısı olduğu iddia edildiğine göre, bu olay yaklaşık olarak 1.000 kişiyi etkiledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.