TINA Isolator etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
TINA Isolator etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

10 Nisan 2025

Siber Güvenlik Bülteni - Mart 2025

 

Bültenimizin Mart Ayı konu başlıkları; 
    • 2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı
    • Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor
    • Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış
    • Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX
    • Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

    2024 Veri İhlallerinin %95’i İnsan Hatasından Kaynaklandı

    Mimecast tarafından yayımlanan yeni bir rapor, 2024 yılında gerçekleşen veri ihlallerinin %95’inin doğrudan insan hatasından kaynaklandığını ortaya koydu. Bu dikkat çekici bulgu, siber güvenlikte insan faktörünün hâlâ en zayıf halka olduğunu gösteriyor.


    İçeriden Gelen Tehditler Yükselişte

    Rapor, insan hatasının başlıca sebepleri olarak:

    • İçeriden gelen tehditler

    • Kimlik bilgisi kötüye kullanımı

    • Kullanıcı kaynaklı hatalar

    gibi unsurları sıralıyor.

    Özellikle dikkat çeken bir veri: Personelin yalnızca %8’i, yaşanan güvenlik olaylarının %80’inden sorumlu tutuldu. Bu da az sayıda çalışanın ciddi ölçüde güvenlik riski oluşturduğunu gösteriyor.


    Yüksek Profilli Olaylar ve Maliyetler

    Raporda yer alan önemli örneklerden biri, Change Healthcare şirketine yönelik fidye yazılımı saldırısı. Bu olayda, bir çalışanın oltalama (phishing) e-postasına düşmesi sonucunda, tehdit aktörleri kurumsal ağa sızmayı başardı.

    • Katılımcıların %43’ü, son 12 ayda içeriden gelen tehditlerde veya çalışan kaynaklı veri sızıntılarında artış yaşandığını belirtti.

    • %66’sı, bu eğilimin önümüzdeki yıl daha da kötüleşeceğini öngörüyor.

    • İçeriden gelen veri ifşalarının kurumlara ortalama maliyeti: 13,9 milyon dolar.


    Kurumlar Eğitim Veriyor Ama Endişeler Sürüyor


    Yapay Zeka Hem Çözüm Hem Tehdit

    • Kurumların %95’isiber saldırılar ve içeriden gelen tehditlere karşı yapay zekâ kullanıyor.

    • Ancak %55’iyapay zekâ kaynaklı tehditlerle mücadelede yetersiz stratejilere sahip olduklarını itiraf ediyor.

    • %81’lik kesimüretken yapay zekâ (GenAI) araçları ile hassas verilerin sızdırılmasından endişe ediyor.

    Bu veriler, modern siber güvenlik stratejilerinde insan faktörünü göz ardı etmenin mümkün olmadığını bir kez daha gösteriyor. Kurumlar:

    • Düzenli eğitimlerle farkındalık artırmalı
    • Yorgunluk gibi psikolojik etkenleri göz önünde bulundurmalı
    • Yapay zekâyı hem saldırı hem de savunma aracı olarak dikkatle analiz etmeli

    Siber güvenlikte sürdürülebilir başarı, sadece teknolojiye değil, aynı zamanda insana yatırım yapmakla da mümkündür.

    Parola Yeniden Kullanımı 2025’te de En Büyük Siber Güvenlik Riski Olmayı Sürdürüyor

    2025 yılı itibarıyla, parola yeniden kullanımı hâlâ en yaygın ve tehlikeli siber güvenlik açıklarından biri olmaya devam ediyor. Yeni paylaşılan veriler, çevrim içi güvenlik farkındalığının artmasına rağmen kullanıcıların aynı parolaları farklı hizmetlerde kullanma alışkanlığını terk etmediğini ortaya koyuyor.


    Sızdırılmış Parolalarla Gerçekleşen Girişler Endişe Veriyor

    Cloudflare tarafından Eylül – Kasım 2024 tarihleri arasında toplanan verilere göre:

    • Şirketin koruma sağladığı web sitelerinde gerçekleşen başarılı girişlerin %41’i, daha önce veri sızıntılarında ifşa edilmiş parolalarla yapıldı.

    • Kullanıcıların ortalama olarak aynı parolayı en az dört farklı hesapta kullandığı belirlendi.

    • Tüm kimlik doğrulama isteklerinin %52’sinde daha önce sızdırılmış parolalar yer aldı (örnek olarak Have I Been Pwned - HIBP veritabanı üzerinden yapılan kontrollerle).

    En çarpıcı bulgu ise, bu tür giriş denemelerinin %95’inin botlar tarafından otomatik şekilde gerçekleştirilmesi oldu. Bu, yaygın bir kimlik bilgisi doldurma (credential stuffing) saldırı stratejisinin varlığına işaret ediyor.


    Otomasyon Sistemleri ve Zincirleme Etkiler

    Bu otomatik saldırılar, saniyede binlerce kullanıcı adı ve parola kombinasyonunu test ederek insanların parola tekrar kullanma alışkanlığını hedef alıyor. Sonuç olarak:

    • Yetkisiz erişimler gerçekleşiyor,

    • Veri hırsızlığı yaygınlaşıyor,

    • Daha ileri düzey hesap ele geçirme ve kurumsal ihlaller meydana geliyor.


    WordPress Siteleri Özellikle Hedefte

    İçerik Yönetim Sistemleri (CMS) arasında en yaygın kullanılanlardan biri olan WordPress, bu saldırılardan orantısız şekilde etkileniyor.

    • Giriş sayfasının kolay tanınabilir olması ve yaygın kullanım oranı, WordPress’i saldırganlar için cazip kılıyor.

    • Analizler, sızdırılmış parola ile yapılan giriş denemelerinin %76’sının başarılı olduğunu gösteriyor.

    • Bu başarılı girişlerin yaklaşık %48’i botlar tarafından gerçekleştiriliyor.

    Bu da, WordPress sitelerinin genellikle daha karmaşık hesap ele geçirme saldırılarının ilk adımı olarak kullanıldığını ortaya koyuyor.


    Web Sitesi Yöneticilerine Öneriler

    Web uygulaması ve site yöneticileri, sistemlerini aşağıdaki yöntemlerle güçlendirebilir:

    • Sızdırılmış kimlik bilgilerini algılayan kontroller entegre edin

    • İstek sınırlandırma (rate limiting) uygulayarak yoğun denemeleri engelleyin

    • Bot yönetim araçları ile otomatik saldırıların etkisini en aza indirin


    Parola güvenliği, hem bireysel hem de kurumsal düzeyde siber güvenlik dayanıklılığı için temel bir unsurdur. Basit gibi görünen bu alışkanlık, ciddi sonuçlara yol açabilir. Bu nedenle, hem kullanıcıların hem de sistem yöneticilerinin aktif önlemler alması her zamankinden daha kritik rol oynamaktadır.

    Mobil Bankacılık Kötü Amaçlı Yazılımlarında Endişe Verici Artış


    2024 yılımobil bankacılık kötü amaçlı yazılımlarında rekor bir artışa sahne oldu. Yıl boyunca yaklaşık 248.000 kullanıcı, bu tehditlerle karşı karşıya kaldı. Bu sayı, 2023'teki 69.000 kullanıcıya kıyasla 3,6 katlık bir artışa işaret ediyor.

    Özellikle yılın ikinci yarısında belirginleşen bu yükseliş, siber suçluların finansal kazanç amacıyla mobil platformlara yöneldiğini gösteriyor. Finansal siber tehdit ortamı, bu eğilimle birlikte daha da karmaşık ve tehlikeli hâle geliyor.


    En Yaygın Tehdit: Mamont

    Araştırmalara göre, Mamont kötü amaçlı yazılım ailesi, tüm mobil bankacılık truva atı saldırılarının %36,7’sini oluşturuyor.

    • İlk olarak 2023 sonunda ortaya çıkan Mamont, özellikle Rusya ve Bağımsız Devletler Topluluğu (BDT) ülkelerinde aktif.

    • Bu zararlı yazılım, sofistike sosyal mühendislik taktikleriyle kullanıcıları hedef alıyor.

    Diğer öne çıkan tehditler arasında:

    • Agent.rj varyantı (%11,14)

    • UdangaSteal.b (%3,17)

    yer alıyor.


    Sosyal Mühendislik Taktikleri

    Securelist araştırmacıları, bu kötü amaçlı yazılımların kullanıcıları kandırmak için çeşitli aldatma teknikleri kullandığını belirtiyor.

    Bunlar arasında:

    • Bu fotoğraftaki sen misin?” gibi basit sosyal medya mesajları

    • Sahte çevrimiçi mağazalar

    • Sahte kargo takip uygulamaları

    gibi daha karmaşık senaryolar bulunuyor.


    Ne Yapabiliyorlar?

    Bu zararlı yazılımlar bir kez yüklendikten sonra:

    • Kimlik bilgilerini çalabiliyor

    • Kimlik doğrulama kodlarını yakalayabiliyor

    • Yetkisiz finansal işlemler gerçekleştirebiliyor

    Yani, bir kullanıcının tüm dijital finansal varlıklarına erişim sağlanabiliyor.


    Türkiye: Önemli Hedeflerden Biri

    Türkiye%5,68 oranıyla mobil bankacılık tehditlerinden en çok etkilenen ülkelerden biri. Bu oran, geçen yıla göre 2,7 puanlık bir artış anlamına geliyor.

    Diğer dikkat çeken ülkeler arasında:

    • Endonezya (%2,71)

    • Hindistan (%2,42)

    • Azerbaycan (%0,88)

    yer alıyor. Bu ülkeler, küresel tehdit kampanyalarının hedefi hâline gelmiş durumda.


    Bulaşma Mekanizmaları

    Bulaşma süreci çoğunlukla sosyal mühendislik ile başlıyor. Kullanıcılar:

    • Sahte uygulama mağazaları

    • Kimlik avı (phishing) siteleri

    aracılığıyla kötü amaçlı yazılım içeren uygulamaları indiriyor.

    Yüklendikten sonra bu uygulamalar:

    • SMS erişimi

    • Bildirimlere erişim

    • Erişilebilirlik hizmetleri

    gibi kapsamlı izinler talep ediyor. Bu izinler sayesinde, zararlı yazılım meşru bankacılık uygulamaları üzerine kimlik avı ekranları yerleştirebiliyor.


    Korunma Önerileri

    Uzmanlar, bu tehditlere karşı şu önlemleri tavsiye ediyor:

    • Sadece resmi uygulama mağazalarından uygulama indirin
    • Uygulama izin taleplerini dikkatlice inceleyin
    • Güvenilir mobil güvenlik çözümleri kullanın
    • Finansal hesaplar için çok faktörlü kimlik doğrulama (MFA) etkinleştirin


    Mobil cihazlar artık sadece iletişim araçları değil, aynı zamanda cüzdanlarımız, bankamız ve özel bilgilerimizin merkezi. Bu nedenle, mobil güvenlik her zamankinden daha kritik olduğunu unutmamak gerekiyor!

    Broadcom’dan Kritik Güvenlik Güncellemesi: VMware Tools ve ESX 

    BroadcomCVSS skoru 9.8 olan ve CVE-2025-22230 olarak izlenen yüksek dereceli bir kimlik doğrulama atlatma zafiyetini ele alan önemli bir güvenlik güncellemesi yayınladı. Bu zafiyet, özellikle VMware Tools for Windows kullanıcılarını ilgilendiriyor.
     

    VMware Tools for Windows Nedir?

    VMware Tools for WindowsVMware WorkstationFusion ve vSphere (ESXi) gibi VMware hipervizörleri üzerinde çalışan sanal makinelerin (VM) performansını ve kullanılabilirliğini artırmak amacıyla kullanılan yardımcı programlar paketidir.
     

    CVE-2025-22230 Zafiyeti

    Bu kritik zafiyet, hatalı erişim kontrolü nedeniyle oluşuyor. Düşük ayrıcalıklı yerel saldırganlar, bu açığı kullanıcı etkileşimi olmadan basit saldırılarla istismar ederek savunmasız VM'lerde ayrıcalık yükseltmesi gerçekleştirebiliyorlar.

    Zafiyetin Etkilediği Sürümler:

    • VMware Tools 12.x.x ve 11.x.x (Windows, Linux ve macOS)

    Güncellenmiş Sürüm:

    • VMware Tools 12.5.1, bu güvenlik açığını gidermektedir.

    Şirket, bu açığın şu an aktif olarak istismar edilip edilmediğine dair herhangi bir bilgi paylaşmamıştır.
     

    Mart Ayında Üç Yeni Zero-Day Zafiyeti Giderildi

    Mart ayının başlarında Broadcom, VMware’in çeşitli ürünlerinde yer alan ve aktif olarak istismar edilen üç sıfır gün (zero-day) zafiyetini daha güvenlik güncellemeleri ile kapattı.

    Söz konusu zafiyetler:

    Etkilenen Ürünler:

    • VMware ESXi

    • vSphere

    • Workstation

    • Fusion

    • Cloud Foundation

    • Telco Cloud Platform

    Broadcom, bu açıkların gerçek dünyada istismar edildiğine dair somut bilgiye sahip olduğunu da doğruladı.
     

    VMSA-2025-0004 Güvenlik Danışma Dokümanı

    4 Mart 2025’te, Broadcom tarafından yayınlanan kritik güvenlik danışma dokümanı (VMSA-2025-0004), bu zafiyetlerin detaylarını ve çözüm yollarını içeriyor. Açıklamada şu ifadelere yer veriliyor:

    “Bu zafiyetler, tehdit aktörlerinin çalışan bir sanal makine üzerinden hipervizöre erişebileceği bir mekanizmayı kapsamaktadır.”

    Bu durum, güvenlik açısından "VM Escape" (Sanal Makineden Kaçış) olarak bilinen son derece tehlikeli bir senaryoya işaret ediyor.

    Broadcom’un yayınladığı bu güncellemeler, sanallaştırma ortamlarında çalışan sistem yöneticileri ve güvenlik ekipleri için oldukça kritik önem taşıyor. Tüm kullanıcıların güncellemeleri acilen uygulaması ve ortamlarını bu yüksek riskli açıklardan koruması şiddetle tavsiye edilir.


    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Mirai Botnetleri, Edimax IP Kameralardaki Kritik Zafiyeti Hedef Alıyor

    Mirai tabanlı botnetler, yakın zamanda keşfedilen CVE-2025-1316 sıfır gün zafiyetini kullanarak Edimax IP kameralarında uzaktan komut çalıştırma gerçekleştirmektedir. Bu durum, ev ve küçük ofis ağlarında yaygın olarak kullanılan bu cihazları büyük bir siber tehdit haline getirmiştir.


    CISA'dan Kritik Uyarı

    ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)Edimax IC-7100 model IP kameraları etkileyen bu zafiyetle ilgili resmi bir güvenlik uyarısı yayınladı.

    • Zafiyet ID’si: CVE-2025-1316

    • Zafiyet Türü: İşletim Sistemi Komutu Enjeksiyonu (OS Command Injection)

    • CVSS Skoru: 9.8 (Kritik)

    Zafiyet, cihazların gelen istekleri düzgün bir şekilde filtreleyememesi nedeniyle ortaya çıkmakta. Bir saldırgan, özel olarak hazırlanmış HTTP istekleri göndererek, cihaz üzerinde uzaktan kod çalıştırma (Remote Code Execution - RCE) yapabiliyor.


    Mirai Tabanlı Botnetlerin Yeni Hedefi

    Akamai araştırmacıları, bu zafiyetin aktif olarak istismar edildiğini doğruladı. Gözlemlerine göre, birden fazla Mirai tabanlı botnet, bu açıklığı kullanarak:

    • Uzaktaki bir sunucudan zararlı bir kabuk betiği (shell script) indiriyor,

    • Edimax IC-7100 IP kameralarına bu zararlı yazılımı yüklüyor,

    • Cihazları botnet ağına dahil ederek DDoS gibi büyük çaplı saldırılarda kullanıyor.


    Güncelleme Mevcut Değil

    Bu zafiyet, tüm Edimax IC-7100 IP kamera sürümlerini etkilemekte ve ne yazık ki cihazlar kullanım ömrü sonlanmış (end-of-life) kategorisinde yer alıyor.

    • Henüz bir güvenlik güncellemesi yayınlanmadı.

    • Üretici firma, Ekim 2024’te bilgilendirilmesine rağmen CISA ve Akamai’ye geri dönüş yapmadı.

    Ayrıca, Akamai, bu zafiyetin yalnızca IC-7100 modeliyle sınırlı kalmayıp diğer Edimax cihazlarını da etkileyebileceği konusunda uyarıda bulunuyor.


    Ne Yapmalı?

    Kullanıcıların ve kurumların şu önlemleri alması önerilmektedir:

    • Edimax IC-7100 kameralarını ağdan izole etmek veya devre dışı bırakmak,

    • Cihaz üzerinde dışa açık portlar varsa erişimi kısıtlamak,

    • Ağ trafiğini izleyerek şüpheli dış bağlantıları engellemek,

    • Mümkünse cihazı daha güncel ve desteklenen modellerle değiştirmek.

    CVE-2025-1316, internet bağlantılı cihazlar üzerinden gelen tehditlerin ne kadar hızlı ve agresif şekilde evrim geçirdiğini bir kez daha gözler önüne seriyor. Destek süresi dolmuş cihazların hâlâ kritik altyapılarda kullanılıyor olması, siber güvenlik açısından ciddi riskler barındırıyor.

     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , , , ,

    01 Kasım 2024

    Siber Güvenlik Bülteni - Ekim 2024

     

    Bültenimizin Ekim Ayı konu başlıkları; 
      • Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti
      • Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı
      • Palo Alto Networks, PAN-OS Zafiyeti
      • Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 
      • 1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

      Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

      Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti.

      FortiManager Güvenlik Zafiyeti Hakkında

      FortiManager, Fortinet’in FortiGate       güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır.

      Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı.

      CVE-2024-47575 Açığı

      Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi.

      Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı.

      Yeni Tehdit Kümesi UNC5820

      Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir.

      Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır.

      FortiJump: Devlet Destekli Casusluk İddiaları

      Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür.

      FortiManager Güvenlik Açığının Yaygınlığı

      Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor.

      İhlal Göstergeleri ve Güvenlik Önerileri

      CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor.

      Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

      CiscoNisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir.

      Güvenlik açığı hakkında:

      Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir.

      Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı:
      • Cisco Secure Firewall VPN
      • Checkpoint VPN
      • Fortinet VPN
      • SonicWall VPN
      • RD Web Services
      • Miktrotik
      • Draytek
      • Ubiquiti
      Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir.

      Güvenlik açığının tespiti ve giderilmesi:

      Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir:

      firewall# show running-config webvpn | include ^ enable

      Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir.

      Diğer Cisco Güvenlik Açıkları

      Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir.

      Özet:
      • CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9)
      • CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9)
      • CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3)

      Ek Bilgiler ve Önerilen Çözümler:

      CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır.

      CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir:

      no ssh stack ciscossh

      Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir.

      CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır.

      CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir:

      zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*

      Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.

      CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

      Palo Alto Networks, PAN-OS Zafiyeti

      Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi.

      Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti.

      Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS)hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır:
      • CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı
      • CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı
      • CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı
      • CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri
      • CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı

      PoC’de Açık İstismar Edildi

      Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı.

      Güncellemeler ve Alınması Gereken Önlemler

      Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor.

      Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır.

      Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.
       

      Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 

      Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor.
      Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:
       
      • MySQL
      • Fusion Middleware
      • Database
      • Enterprise Manager
      • Tedarik Zinciri Ürünleri
      • Finansal Hizmet Uygulamaları
      • İletişim Uygulamaları
      • Perakende Uygulamaları
      • Kamu Hizmetleri Uygulamaları
      • PeopleSoft
      • Siebel
      Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları

      334 güvenlik yamasından 61’ikimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:
       
      • Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
      • Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
      • Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
      • Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
      Oracle'ın amiral gemisi olan Oracle Database6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.
       
      Oracle’dan Acil Güncelleme Tavsiyesi

      Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.
       
      Güncelleme Süreci İçin İpuçları

      Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir:
      1. Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin.
      2. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın.
      3. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın.
      4. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun.
      Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

      1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

      Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.
       
      Yeni Fidye Yazılımı Gruplarındaki Artış

      Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:
       
      • LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu.
      • PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı.
      • RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi.
      BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.
       
      Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler

      Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor.

      Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.
       
      Devlet Destekli Siber Faaliyetlerin Analizi

      Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:
       
      • Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor.
      • Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda.
      • İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor.
      • Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.
       
      Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.
       

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , , , , ,
      Kaydol: Kayıtlar (Atom)

      Popüler Yayınlar