Siber Güvenlik Bülteni - Ocak 2024

 

Bültenimizin Ocak Ayı konu başlıkları;  Ivanti Connect Secure Sıfırıncı Gün Zafiyeti GoAnywhere MFT Auth Bypass 2023 Yılının Popüler Siber Saldırıları Tarihin En Büyük Veri Sızıntısı

Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı. İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir. Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler. Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi. Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor. Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir. Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor. 2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı. Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir). Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

GoAnywhere MFT Auth Bypass

Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor. CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir. Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi. 7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler. Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir. CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi. Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor. Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir. CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023 Yılının Popüler Siber Saldırıları

Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor. Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar: Yöntemlerini otomatikleştirmek Yöntemlerini geliştirmek Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır. Siber Saldırı Türlerinin Genel Olarak Bilinenleri: Kötü Amaçlı Yazılım (Malware) Kimlik Avı (Phishing) Servis Dışı Bırakma (DoS) Dağıtık Servis Dışı Bırakma (DDoS) Orta Adam Saldırısı (MitM) SQL Enjeksiyonu Cross-Site Scripting (XSS) Zero-Day Saldırıları Gelişmiş Kalıcı Tehditler (APTs) Fidye Yazılımları (Ransomware) IoT (Nesnelerin İnterneti) Sömürüsü Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Tarihin En Büyük Veri Sızıntısı

Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor. Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi. 26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir. Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor. Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır. Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir. Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler. Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler. Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Aralık 2023

 

Bültenimizin Aralık Ayı konu başlıkları;  Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler MongoDB'de Veri Sızıntısı İsrail - İran Siber Savaş Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

Birleşik Krallık merkezli siber güvenlik firması Sophos, EOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu. Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti. Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor. Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor. Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur. Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor. 6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır. Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

MongoDB'de Veri Sızıntısı

MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor. MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor. "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor: "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ." Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor. Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir. Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor. Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar. Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

İsrail - İran Siber Savaş

Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor. İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor. Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti. İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti. Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor. Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti. "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı. Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti. Neden Yapıldı? Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor. Sektörel Hedeflenme ve Artan Tehditler: Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor. Öne Çıkan Tehdit Aktörleri: LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor. Bölgesel Dağılım ve Avrupa'daki Artış: Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor. Carbanak'ın Geri Dönüşü: Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı. Önemli Uyarı ve Öneriler: 2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir. Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Eylül 2023

 

Bültenimizin Eylül Ayı konu başlıkları;  Cisco'da Kritik Zafiyetler Fortinet Ürünlerinde Yüksek Dereceli Zafiyet APT'ler Hava Yolu Şirketlerini Vurdu Apple'da 3 Yeni Zero-day Zafiyeti Microsoft AI Ekibi "Yanlış Yapılandırma" Kurbanı

Cisco'da Kritik Zafiyetler

Cisco yakın zamanda ürünlerinde farklı zafiyetler tespit etti ve bunlarla ilgili yamalar yayınladı. Cisco'nun bu zafiyetleri BroadWorks Application Delivery Platform and BroadWorks Xtended Services platformlarında tespit edildi. CVE-2023-20238 referans numarası ile takip edilen zafiyet; tekli oturum açma (SSO) servisinde tespit edildi. Zafiyet, kimliği doğrulanmamış uzaktaki bir saldırgan tarafından sahte kimlik bilgileri oluşturmak ve etkilenen sistemlere erişmek için kullanılabilir. Cisco, sorunun AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel veya Xsi-VTR çalıştıran BroadWorks sürümlerini etkilediğini söylüyor. AP.platform 23.0.1075.ap385341 sürümü güvenlik açığını gidermekte, Cisco ayrıca gerekli yamaları içeren 2023.06_1.333 ve 2023.07_1.332 bağımsız sürümlerini de duyurdu. CVE-2023-20243 referans numarası ile takip edilen zafiyet ise, ISE (Identity Service Engine) üzerinde DoS'a sebebiyet vermektedir. Saldırgan Cisco ISE cihazına sürekli özel paket göndererek, RADIUS'un yeniden başlatılmasına neden olup, kullanıcının ağa veya hizmetine erişimini engelleyebilir. Güvenlik açığı yalnızca Cisco ISE sürüm 3.1 ve 3.2'yi etkiliyor ve Cisco ISE sürüm 3.1P7 ve 3.2P3'ün yayımlanmasıyla giderildi. CVE-2023-20269 referans numarası ile takip edilen zafiyet; Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) yazılımında tespit edildi, VPN servisinde kullanılan zafiyet ile geçerli kullanıcı kimlik bilgilerine erişimi olan bir saldırgan, yetkisiz bir kullanıcıyla istemcisiz bir SSL VPN oturumu kurmak için bu kusurdan yararlanabiliyor. Zafiyet, Cisco'nun Akira fidye yazılımı saldırılarını araştırırken tespit edildi, Ağustos 2023'den beri de hali hazırda bu zafiyetin çeşitli yerlerde kullanıldığı belirlendi. Cisco'nun zafiyet için henüz bir yaması bulunmamakta, yamalar yayınlanana kadar buradaki öneriler kısmından faydalanabilirsiniz. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fortinet Ürünlerinde Yüksek Dereceli Zafiyet

Fortinet, yüksek dereceli cross-site scripting ve CSRF zafiyeti için yeni yama yayınladı. Fortinet ürün ailesinden FortiOS, FortiProxy ve FortiWeb ürünleri zafiyeti barındırmaktadır. Fortinet bu zafiyet ile, kimliği doğrulanmış bir saldırganın, JavaScript kodunun yürütülmesini tetiklemek için hazırlanmış olan misafir yönetimi ayarlarını kötü amaçlı olarak kullanmasına izin verebileceğini belirtiyor. CVE-2023-29183 referans nolu zafiyet, FortiProxy'nin 7.0.x ve 7.2.x sürümlerini ve FortiOS 6.2.x, 6.4.x, 7.0.x ve 7.2.x sürümlerini etkiliyor. Fortinet bu zafiyetin kapatılması için FortiProxy 7.0.11 ve 7.2.5 sürümlerini ve FortiOS 6.2.15, 6.4.13, 7.0.12, 7.2.5 ve 7.4.0 sürümlerini yayımladı. Fortinet "bir saldırganın mevcut XSS ve siteler arası sahtecilik (CSRF) korumalarını atlamasına olanak verebileceğini" açıklıyor. CVE-2023-34984 referans nolu zafiyet,  FortiWeb'in 6.3, 6.4, 7.0.x, and 7.2.x sürümlerini etkiliyor. Fortinet bu zafiyeti kapatmak için de FortiWeb  7.0.7 and 7.2.2 sürümlerini yayımladı. Sistemlerin en kısa sürede güncellenmesi öneriliyor, Fortinet henüz bu konuyla alakalı bir saldırı girişimi bilgisi vermese de bu zafiyetlerin hali hazırda kurumlara sızılmak için kullanıldığı düşünülüyor. Eğer sistemlerinizde ilgili yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

APT'ler Hava Yolu Şirketlerini Vurdu

ABD'li bir havacılık kuruluşunun güvenliği, Zoho ve Fortinet'in bilinen güvenlik açıklarından yararlanan çok sayıda saldırgan grupların arka arkaya saldırılarıyla tehlikeye girdi. Her iki zafiyette kritik olarak derecelendirilirken, CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı) tarafından KEV (Bilinen İstismar Edilen Zafiyetler) kataloğuna da eklendi. Kurumlara da güvenlik sistemlerinin ve güvenlik duvarları dahil yapılarının gerekli yamaların uygulanması için uyarıda bulundu. APT (Gelişmiş İleri Seviye Atak) grupları, Zoho ManageEngine ServiceDesk Plus'a yetkisiz erişim sağlamak için uzaktan kod yürütmeye imkan sağlayan CVE-2022-47966 referans numaralı zafiyetten faydalandı. Diğer APT grupları Fortinet güvenlik duvarında varlık oluşturmak için FortiOS SSL-VPN'deki arabellek taşmasına imkan sağlayan  CVE-2022-42475 referans numaralı zafiyetten faydalandı. Saldırıların Ocak ayından beri sürdüğü düşünülüyor. Yapılan saldırılar ve metotlar tek bir saldırgan grubun değil, birden fazla grubun olduğunu gösteriyor. APT gruplarının öncelikle ağda erişim kazandığı, yönetici yetkileri hesap oluşturduğu, zararlı yazılım indirebildiği, yönetici kullanıcı bilgilerini toplayabildiği ve kuruluş ağında yatay olarak hareket ettiğini gösteriyor. APT gruplarının aynı zafiyetler ile bu yılın başından itibaren, birçok sağlık kuruluşu, orta ölçekli internet sağlayıcısı gibi kritik noktalara sızdığı biliniyor. APT gruplarının İnternete açık cihazları sürekli olarak takip ettiğini ve her geçen gün çıkan zafiyetler ile birlikte dikkatlerini çektiğini unutmamak gerekiyor. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Apple'da 3 Yeni Zero-day Zafiyeti

Apple, bir casus yazılım satıcısının iPhone'ları hacklemek için kullandığı 3 sıfır gün güvenlik açığını düzeltmek için acil güncelleme yayımladı. Bu zafiyetlerin güncellemeler öncesinde aktif olarak kullanıldığı da düşünülüyor.  Bu zafiyetler; kötü amaçlı bir uygulamanın imza doğrulamasını atlamasına olanak tanıyan CVE-2023-41991, yerel bir saldırganın ayrıcalıkları yükseltmesine olanak tanıyan bir çekirdek kusuru olan CVE-2023-41992 ve hedeflenen kullanıcıyı kötü amaçlı bir web sayfasına çekerek keyfi kod yürütmek için kullanılabilen bir Webkit olan CVE-2023-41993 numaralarıyla biliniyor. Apple bu güvenlik açıklarını, iOS ve iPadOS (sürüm 17 ve 16 dahil), macOS (Ventura ve Monterey dahil) ve watchOS'ta yamaladı. Daha önce CVE-2023-41064 referans numarası ile takip edilen sıfırıncı gün zafiyetinin Pegasus casus yazılımını iPhone'lara dağıtılmak için kullanıldı.

Microsoft AI Ekibi Yanlış Yapılandırma Kurbanı

Microsoft'un AI GitHub deposunda bulunan ve 30.000'den fazla dahili Microsoft Teams mesajı da dahil olmak üzere verilerin açığa çıkması olayı, yanlış yapılandırılmış bir paylaşılan erişim imzası (SAS) belirtecinden kaynaklandı. Uzmanlar, Microsoft'un yapay zeka araştırma ekibinin GitHub'da bir dizi açık kaynak eğitim verisi yayınlarken, iki çalışanın iş istasyonlarının disk yedeklemesi de dahil olmak üzere 38 terabaytlık ek özel veriyi yanlışlıkla açığa çıkardığını keşfettiklerini söyledi. Ayrıca bunların işbirliği ve veri paylaşımı için değerli bir araç olmasına rağmen, yanlış yapılandırıldığında veya yanlış kullanıldığında iki ucu keskin bir kılıca dönüşebileceğini söyledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Ağustos 2023

 

Bültenimizin Ağustos Ayı konu başlıkları;  Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı Ivanti Sentry Gateway 0. Gün Zafiyeti WinRAR'da 0. Gün Zafiyeti Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı

Endüstriyel kuruluşları ve altyapıyı hedef alan fidye yazılımı saldırılarının sayısı 2022'nin ikinci çeyreğinden bu yana iki katına çıktı. 2023'te ikinci çeyrekte de, ilk çeyreğe göre daha fazla saldırı gerçekleşti. 2022'de Conti fidye yazılım grubunun pasif hale gelmesiyle bir dönem azalış meydana gelse de, saldırılar hızla artmaya devam ediyor. Saldırıların artmasındaki en büyük payda, bazı kurban şirketlerin ödemeyi reddetmesi yatıyor, bazı şirketler ödemeyi kabul etmeyince fidye yazılımı grupları daha fazla noktaya saldırmaya başlıyor. 2023'te saldırıların artmasında iki önemli neden gösteriliyor; birincisi, NATO ülkeleri ile Rusya arasında hakim olan siyasi gerilim, Rusya'ya bağlı fidye yazılımı gruplarını NATO ülkelerindeki kritik altyapıları hedef almaya ve bozmaya devam etmeye motive ediyor. İkincisi, fidye ödemeye istekli kurbanların sayısı azaldıkça, RaaS grupları odaklarını daha büyük kuruluşlara kaydırdı ve gelirlerini sürdürmek için yaygın fidye yazılımı dağıtım saldırılarına başvurdu.  Saldırgan gruplar aktif olarak Kuzey Amerika'yı hedeflerken, hemen ardından Asya bölgesi geliyor. 2023'ün en aktif fidye yazılım grupları LockBit, Alpha V, Black Basta, Bianlian, BBase, Play, Royal, Clop ve Akira diye devam ediyor. Üretim en çok hedeflenen sektör olarak ön plana çıkarken, onu endüstriyel kontrol sistemleri, ulaşım ve petrol-gaz takip ediyor.

Ivanti Sentry Gateway 0. Gün Zafiyeti

Ivanti, Sentry mobil ağ geçidini etkileyen yakın zamanda keşfedilen bir güvenlik zafiyetinin saldırılarda kullanıldığını doğruladı. CVE-2023-38035 kodu ile takip edilen ve 'kritik' olarak derecelendirilen güvenlik zafiyetinin varlığı 21 Ağustos'ta ortaya çıktı. Ivanti, zafiyetten "sınırlı sayıda müşterinin" etkilendiğinin farkında olduğunu söyledi. Bu güvenlik zafiyetinden yararlanılması halinde, kimliği doğrulanmamış bir aktörün yönetici portalında Ivanti Sentry'yi yapılandırmak için kullanılan bazı hassas API'lere erişmesine olanak sağlıyor. Ivanti, müşterilerin MICS'e erişimi dahili yönetim ağlarıyla sınırlamalarını ve bunu internete maruz bırakmamalarını tavsiye ediyor. 8443 numaralı portu internete açmayan müşteriler için istismar riskinin düşük olduğunu da ekledi. Uzmanlar, "başarılı bir istismar, kimliği doğrulanmamış bir tehdit aktörünün Ivanti Sentry sunucusuna dosya okuyup yazmasına ve 'süper kullanıcı' (sudo) kullanarak sistem yöneticisi (root) olarak işletim sistemi komutlarını yürütmesine olanak tanır" dedi. Geçtiğimiz ay Ivanti EPMM yazılımlarına ait güvenlik zafiyeti ortaya çıkmış ve aktif olarak kamuya saldırılarda kullanılmıştı. Bu güvenlik zafiyeti 9.18 ve önceki sürümleri etkiliyor. Ivanti, yazılımların önce desteklenen sürümlere yükseltilmesini daha sonra aktif hale getirdiği RPM kodlarının uygulanmasını önerdi. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

WinRar'da 0. Gün Zafiyeti

WinRAR, sıkıştırma ve arşivleme aracının, bir RAR dosyası açıldığında kod çalıştırılmasına izin veren bir güvenlik zafiyetinden etkilendiği tespit edildi. WinRAR, birden fazla dosyayı dağıtım veya arşivleme amacıyla sıkıştırmak ve paketlemek için kullanılabilen birçok uygulamadan biridir ve dünya çapında 500 milyondan fazla kullanıcısı ile dünyanın en popüler sıkıştırma aracı olduğu tahmin edilmektedir. CVE-2023-40477 kodu ile takip edilen WinRAR zafiyetinin, bir arşiv dosyasını açarken kullanıcı tarafından sağlanan verilerin tam olarak doğrulanmamasından kaynaklandığı ve bu durumun belleğe de erişime imkan sağladığı belirtilmekte. Bu zafiyet, saldırgana bir RAR dosyası oluşturup, zararlı kodu yürütmek üzere kullanmasına olanak sağlamaktadır. CVE-2023-38831 kodu ile takip edilen diğer WinRar sıfır gün güvenlik zafiyeti, bir arşivdeki zararsız dosyalara tıklandığında kötü amaçlı yazılım yüklemek için aktif olarak kullanıldı ve bilgisayar korsanlarının çevrimiçi kripto para birimi ticaret hesaplarını ihlal etmesine olanak tanıdı. Bu güvenlik zafiyeti Nisan 2023'ten beri aktif olarak kullanılıyor ve DarkMe, GuLoader ve Remcos RAT gibi çeşitli kötü amaçlı yazılım ailelerinin dağıtılmasına yardımcı oluyor. Saldırganların JPG (.jpg) resimleri, metin dosyaları (.txt) veya PDF (.pdf) belgeleri gibi görünüşte zararsız olan dosyaları görüntüleyen kötü amaçlı .RAR ve .ZIP arşivleri oluşturmasına da olanak tanımaktadır. WinRAR bu iki kritik zafiyeti kapatan WinRAR 6.23 yeni sürümünü yayınladı, acilen güncellemenizi öneririz.

Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

Araştırmacılar, dünya çapında acil servisler tarafından kullanılan bir radyo iletişim protokolünün, saldırganların iletimleri gözetlemesine veya manipüle etmesine izin verebilecek bir çok kritik güvenlik açığını barındırdığını buldu. Karasal Hatlı Radyo (TETRA), esas olarak polis, itfaiye ve askeriye gibi acil servislerin yanı sıra bazı endüstriyel ortamlarda kullanılan bir radyo ses ve veri standardıdır. Çoklu TETRA güvenli kanalları anahtar yönetimi, ses ve veri şifreleme sunarken TETRA Şifreleme Algoritması (TEA1), verilerin kablosuz olarak gizli bir şekilde iletilmesini sağlayan gerçek şifreleme algoritmalarını uygular. İlk olarak 1995 yılında Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından yayınlanan TETRA, özellikle kolluk kuvvetleri için en yaygın kullanılan profesyonel mobil radyo standartlarından biridir ve ses, veri ve makineler arası iletişim için onlarca yıldır sürekli olarak kullanılmaktadır. TETRA'da beş güvenlik açığı bulundu; kritik olarak derecelendirilen CVE-2022-24402 ve CVE-2022-24401 kodu ile takip edilen ise iki zafiyettir. Sıfır gün güvenlik açıkları toplu olarak "TETRA:BURST" olarak bilinir. Altyapı ve cihaz yapılandırmalarına bağlı olarak bu güvenlik açıkları, gerçek zamanlı veya gecikmeli şifre çözme, mesaj ekleme, kullanıcı anonimleştirme veya oturum anahtarı sabitleme saldırılarına olanak tanır. Pratik olarak bu güvenlik açıkları, üst düzey saldırganların polis ve askeri iletişimleri dinlemesine, hareketlerini takip etmesine veya TETRA üzerinden taşınan kritik altyapı ağ iletişimlerini manipüle etmesine olanak tanıyor. Uzmanlar, herhangi bir yamanın olmadığını, üreticilerin iyileştirme için hali hazırda çalışmalara devam ettiğini ve TEA1'den başka bir TEA şifrelemesine geçilmesini öneriyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.