Siber Güvenlik Bülteni - Haziran 2023

 

Bültenimizin Haziran Ayı konu başlıkları;  Barracuda'da Sıfırıncı Gün Zafiyeti Fortinet'te Kritik Zafiyetler RDP'ye Saldırılar Durmuyor Chrome'da Kritik Zafiyetler Asus Wifi Router için Kritik 9 Zafiyet

Barracuda'da Sıfırıncı Gün Zafiyeti

Barracuda'da tespit edilen CVE-2023-2868 referans numaralı zafiyetin Ekim 2022'den beri zararlı yazılım yayma ve veri ihlallerinde kullanıldığı tespit edildi. CVE-2023-2868 referans numarası ile takip edilen sıfırıncı gün açığı uzaktan komut çalıştırmaya imkan sağlamakta ve Email Security Gateway (ESG) cihazlarını etkilemektedir. ESG cihazlarının 5.1.3.001 ile 9.2.0.006 sürümleri etkilenmektedir. Yapılan analizlerde Barracuda cihazlarında üç farklı zararlı yazılım tespit edildi. Saltwater; Barracuda SMTP üzerinde çalışan bir modül olarak tasarlanmış ve uzaktan dosya yükleme veya indirme, komut yürütme ve proxy veya tünel oluşturma amaçlı kullanılmaktadır. Seaspy; meşru bir Barracuda hizmeti olarak görünür, trafiği izler ve arka kapı işlevi sağlar. Seaside; Barracuda SMTP servisini hedefler, reverse oluşturarak C&C (komut ve kontrol) bağlantısı sağlar. Barracuda her ne kadar zafiyet ile ilgili bir yama yayınlasa da, cihazların güncel olduğundan emin olunmasını ve güvenliği ihmal edilmiş cihazları kullanmayı bırakmalarını tavsiye etti. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

Fortinet'te Kritik Zafiyetler

Fortinet'in son yıllarda hızla artan zafiyetlerine yenileri eklenmeye devam ediyor. Yeni zafiyetlerde de kimliği doğrulanmamış kullanıcının uzaktan kod çalıştırmasına olanak sağladığı doğrulanmıştır.  FortiOS tarafında tespit edilen zafiyet,  CVE-2023-27997 referans numarası ile takip edilebilir, uzaktan kimliği doğrulanmamış bir saldırgan tarafından kod çalıştırmaya olanak sağlamaktadır. Zafiyet ile SSL-VPN ön kimlik doğrulamasında yığın bellek taşması yaratarak sisteme sızmaya imkan sağlamaktadır. Fortinet SSL VPN kullanan tüm müşterilerinin hızlıca yamaları yapmasını öneriyor, SSL VPN kullanmayan müşterilerinin ise riskinin azaldığını belirtmekte fakat onlarında yamalarını yapmalarını önermektedir. FortiNAC tarafında tespit edilen zafiyet,  CVE-2023-33299 referans numarası ile takip edilebilir, kimliği doğrulanmamış bir kullanıcının TCP 1050 hizmetine yönelik özel olarak tasarlanmış istekler ile yetkisiz kod çalıştırmasına imkan sağlamaktadır. 7.2.0'dan 9.4.2'ye kadar olanlar da dahil olmak üzere birçok FortiNAC sürümü, bu uzaktan kod yürütme güvenlik açığından etkilenmektedir. Fortinet hızlıca bu yamaların yapılmasını önermektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

RDP'ye Saldırılar Durmuyor

Uzak masaüstü bağlantıları her ne kadar kurumlar için hızlı ve kolay çözüm olarak görülse de, saldırganları çekme konusunda da adeta bir mıknatıs görevi görmektedir. Dışarı açık olan bir RDP günde ortalama 37.000'den fazla bağlantı talebi almaktadır. Bunların çoğunluğu otomatik botlar tarafından gerçekleştirilmektedir fakat doğru bir bağlantı tespitinde de direkt saldırganın manuel uğraşları devreye girmektedir. Bir araştırma grubu tarafından kurulan RDP bal küpü (honeypot) ağında 3 aylık bir dönemde yaklaşık 3.5 milyon oturum açma talebi geldi, 1 yıl içerisinde ise 13 milyondan fazla oturum açma talebi geldi. Bu saldırılarda gelen talepler ağırlıklı olarak Rusya ve Çin IPlerinden oluşmaktadır.  Gerçekleştirilen oturum açma taleplerinde kullanılan Administrator, ADMIN, ADMINISTRATOR, Admin, administrator gibi standart kullanıcı adları dışında, RDP honeypotlara verilen isimlere özgü kullanıcı adlarının da oluşturulup denendiği ortaya çıktı.  Dışarı açık olan servislerin her zaman risk içerdiğini ve servisin dışarı açıldığı an itibariyle hedef haline geldiğini net olarak görebiliyoruz, bu yüzden dışarı açık olan servisleri korumak için yeni çözümümüz TINA ISOLATOR'ü öneriyoruz, detaylı bilgi için bize ulaşabilirsiniz

Chrome'da Kritik Zafiyetler

Google, meşhur web tarayıcısı Chrome için acil yama yayınladı. CVE-2023-3079 referans kodu ile takip edilen güvenlik açığı, V8 JavaScript motorunda bir tür karışıklık hatası olarak tanımlandı. NIST'in Ulusal Güvenlik Açığı Veritabanına göre; 114.0.5735.110'dan önceki Google Chrome'daki V8'deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak yığın bozulmasından yararlanmasına izin vermektedir. Google saldırının detaylarını açıklamadı fakat hali hazırda zafiyetin kullanıldığını belirtti.  Yılbaşından bu yana Chrome üzerinde 3 farklı sıfır gün zafiyeti tespit edildi; CVE-2023-2033 V8'de Tür Karışıklığı ve CVE-2023-2136 Skia'da tamsayı taşması. Kullanıcıların olası tehditleri azaltmak için, Windows için 114.0.5735.110 ve macOS ve Linux için 114.0.5735.106 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeleri kullanıma sunulduğunda, acilen yamaları uygulamaları önerilmektedir.

Asus Wifi Router için Kritik 9 Zafiyet

Tayvanlı bilgisayar donanımı üreticisi Asus, WiFi yönlendirici ürün serilerindeki güvenlik açıklarını gidermek için acil yazılım güncellemeleri gönderdi ve kullanıcıları uzaktan kod yürütme saldırıları riskine karşı uyardı. Asus; kod yürütme, hizmet reddi, bilgi ifşası ve kimlik doğrulama baypaslarına izin veren içerisinde 2018’den beri sömürüldüğü anlaşılan 9 güvenlik açığını yamaladı. Etkilenen ürünler;   GT6/GT-AXE16000/GT-AX11000 PRO/GT-AXE11000/GT-AX6000/GT-AX11000/GS-AX5400/GS-AX3000/XT9/XT8/XT8 V2/RT-AX86U PRO/RT-AX86U/RT-AX86S/RT-AX82U/RT-AX58U/RT-AX3000/TUF-AX6000/TUF-AX5400. Ayrıca güncelleme yapmayan müşterileri içinde "olası istenmeyen izinsiz girişleri önlemek için WAN tarafından erişilebilen hizmetleri devre dışı bırakmanızı kesinlikle öneririz." açıklamasında bulundu ek olarak "Yönlendiricinizi en son üretici yazılımına güncelleyin. Yeni üretici yazılımı çıkar çıkmaz bunu yapmanızı şiddetle tavsiye ediyoruz" diyen şirket, kullanıcıların kablosuz ağ ve yönlendirici yönetim sayfaları için ayrı parolalar ayarlaması gerektiğini de sözlerine ekledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz

Siber Güvenlik Bülteni - Mayıs 2023

 

Bültenimizin Mayıs Ayı konu başlıkları;  VMware'de Kritik Zafiyetler Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı 2023'ün İlk Çeyrek Fidye Yazılımı Trendleri! Cisco'da Kritik Zafiyetler Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

VMware'de Kritik Zafiyetler

VMware, Workstation ve Fusion zafiyetleri için güvenlik yaması yayınladı. Tespit edilen zafiyetler Workstation ve Fusion için uzaktan kod yürütmeye ve yetki yükseltmeye olanak sağlamaktadır.   Zafiyetler;    CVE-2023-20869; Bluetooth cihaz paylaşım işlevindeki arabellek taşması ve sanal makinenin VMX istismar edilerek kod yürütülmesi zafiyetidir. CVE-2023-20870; Hipervisor belleğinde bulunan kritik verilerinin okunması zafiyetidir.   CVE-2023-20871; VMware Fusion Raw Disk, yerel ayrıcalık yükseltme zafiyetidir.   CVE-2023-20872; SCSI CD/DVD üzerinden veri okunması veya sistemde hipervisorde kod yürütme zafiyetidir.   Güvenlik açıkları, VMware Workstation Pro v17.x ve VMware Fusion v13.x'i etkilemektedir.   Güncelleme yapılan sürümler; VMware Workstation Pro 17.0.2 VMware Fusion 13.0.2 Öneriler; CVE-2023-20869 ve CVE-2023-20870 için sanal makinede Bluetooth desteğini kapatabilirsiniz. CVE-2023-20872 için CD/DVD cihazını sanal makineden çıkarabilir veya VM'i SCSI denetleyicisini kullanmayacak şekilde yapılandırabilirsiniz.

Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı

Zyxel, belirli firewall ve VPN ürünlerini etkileyen uzaktan kod yürütmeye imkan sağlayan iki kritik güvenlik açığı için yama yayınladı. Zafiyetler CVE-2023-33009 ve CVE-2023-33010 referans numaraları ile takip edilebilir.      Etkilenen Cihazlar; ATP (ZLD V4.32'den V5.36 Yama 1'e kadar olan sürümler) USG FLEX (ZLD V4.50 - V5.36 Yama 1 sürümleri) USG FLEX50(W) / USG20(W)-VPN (ZLD V4.25 - V5.36 Yama 1 sürümleri) VPN (ZLD V4.30 ila V5.36 Yama 1 sürümleri) ZyWALL/USG (ZLD V4.25 - V4.73 Yama 1 sürümleri) Geçtiğimiz aylarda çıkan CVE-2023-28771 zafiyeti, aktif olarak Mirai Botnet tarafından sömürülmektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023'ün İlk Çeyrek Fidye Yazılımı Trendleri

Fidye Yazılımı (Ransomware) saldırıları ön plana çıkmaya devam ediyor. Saldırganlar, kar elde etmek için sağlık, eğitim kurumları, hizmet sağlayıcıları, endüstriyel işletmelere kadar her sektörde karşımıza çıkıyor. 2022 yılındaki saldırılarda 2021 yılına oranla %20 artış söz konusu, 2023 yılının ilk çeyreğinde önceki yılların ilk çeyreğine göre de bir artış görülmüştür, ayrıca bunlara ek olarak başarı oranları, saldırıların daha karmaşık hale gelmesi ve daha iyi hedeflenmiş olmasından dolayı oldukça artmıştır. Fidye yazılımlarını artık Windows dışında, Linux ve macOS işletim sistemlerinde de aktif olarak görmeye başladık. Yapılan araştırmalara göre saldırıların %42.9'u yamalanmamış sistemlere gerçekleşirken, geri kalanı ise dışarıya açık uygulama zafiyetleri, oltalama saldırıları, güvenliği ihlal edilmiş hesaplardan oluşmaktadır.    İlk çeyrekte öne çıkanlar; Fidye yazılımı grupları; LockBit3.0, Clop, ALPHV, Royal, Vice Society ve Black Basta'dır. Hedeflenen sektörler; Üretici İşletmeler, Perakende, İnşaat, Eğitim, Ulaşım, Yazılım, Finans ve Sağlıktır.  Hedeflenen ülkeler; Amerika, İngiltere, Kanada, Almanya, Fransa, Avustralya, Hindistan, İtalya, Brezilya ve İspanya'dır. İlk çeyrekte yeni 100'den fazla grup ortaya çıktı. Bu gruplar arasında hareketliliği dikkat çekenler; Medusa Ransomware ve Nevada/ESXi'dir.  Daha önce kapatılan gruplarında değişiklik yaparak geri döneceği konuşulmakta, bunlarda en bilineni ise Hive grubudur.

Cisco'da Kritik Zafiyetler

Cisco, Small Business serisi switchlerde 4 kritik zafiyet için yama yayınladı. Bu zafiyetler, yönetim web arayüzlerindeki açıklıktan dolayı uzaktan kod çalıştırmaya imkan sağlamaktadır.    Cisco zafiyetler için acil güncelleme çağrısı yaptı ve güncelleme yapmanın dışında herhangi bir çözüm önerisi sunmadı. 4 kritik güvenlik açığı  CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, ve CVE-2023-20189 referans numaraları ile takip edilebilir. Web arayüzdeki zafiyeti istismar eden bir saldırganın cihazda root yetkileri ile kod çalıştırabileceği belirtildi.    Etkilenen sistemleri aşağıdaki gibidir; 250 Series Smart Switches 350 Series Managed Switches 350X Series Stackable Managed Switches 550X Series Stackable Managed Switches Business 250 Series Smart Switches Business 350 Series Managed Switches Small Business 200 Series Smart Switches Small Business 300 Series Managed Switches Small Business 500 Series Stackable Managed Switches

Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

İllegal bir siber saldırı grubu olan Lemon Group, son 5 yılda yaklaşık 50 telefon firmasında 9 milyon Android cihaza Guerilla zararlı yazılımını yerleştirerek kötü amaçlı faaliyetler gerçekleştirdi.     Saldırgan grup genel olarak bu zararlıyı ek yazılım yüklemek, tek kullanımlık giriş/doğrulama SMS'lerini ele geçirmek, reverse proxy yapmak, WhatsApp oturumlarını ele geçirmek gibi kritik amaçlar için kullanıyor.     Guerilla zararlı yazılımı genel olarak aşağıdaki özellikleri içermektedir; SMS yoluyla alınan tek seferlik şifreleri ele geçirmek Kurban telefon trafiğini reverse proxy ile kullanmak Facebook gibi sosyal medya çerezlerini sızdırmak ve WhatsApp oturumlarını ele geçirmek Normal uygulamalar üzerinde reklam göstermek Uzak C2 sunucusu üzerinden ek APK yüklemek ve mevcut uygulamaları kaldırmak 180'den fazla ülkede 9 milyon cihaza bulaşmış olan zararlı yazılım ağırlıklı olarak Güneydoğu Asya ve Doğu Avrupa'da faaliyet göstermektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Nisan 2023

Bültenimizin Nisan Ayı konu başlıkları;  Microsoft Fidye Saldırılarına Karşı Güncelleme Cisco Kritik Zafiyetler İçin Yama Yayınladı SAP Zafiyetleri İçin Yama Yayınladı MSI Fidye Yazılımı Saldırısına Uğradı! Microsoft Fidye Saldırılarına Karşı Güncelleme Microsoft, 97 adet güvenlik açığı için yama yayınladı, bu zafiyetlerden bir tanesi ise aktif olarak fidye saldırılarında kullanıldı. 97 zafiyetin; 7'si kritik olarak belirlendi, 90'ı ise önemli olarak derecelendirildi. Bu zafiyetlerin 45'i uzaktan kod yürütme, 20'si de yetki yükseltme kusuru. Aktif olarak istismar edilen güvenlik açığı, Windows Ortak Günlük Dosya Sistemi (CLFS) yetki yükseltme hatası CVE-2023-28252 referans numarası ile takip edilebilir. 2018'den bu yana CLFS üzerinde en az 32 güvenlik açığı keşfedildi. Güvenlik araştırmacıları bu güvenlik zafiyetinin Orta Doğu, Kuzey Amerika ve Asya'daki küçük ve orta işletmelere Nokoyawa fidye yazılımını dağıtmak için kullanıldığını açıkladı. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) istismarı devam eden zafiyet için sorumlu olduğu kurumlara 2 Mayıs 2023 tarihine kadar sistemlerini güvence altına almaları uyarısını iletti. Microsoft'un Nisan ayında Office, Defender, SharePoint Server, Hyper-V, PostScript Yazıcı ve Microsoft Dynamics dahil olmak üzere Windows bileşenleri için yayınlanmış olduğu yamaların tamamına buradan ulaşabilirsiniz. Cisco Kritik Zafiyetler için Yama Yayınladı Cisco, endüstriyel ağ yönetimi çözümü Industrial Network Director (IND) ve ağ simülasyon platformu Modeling Labs çözümlerini etkileyen kritik güvenlik açıkları için yamalar yayınladı. Cisco Industrial Network Director'da bulunan zafiyet web ara yüzünde kimliği doğrulanmamış bir saldırgan NT AUTHORITY\SYSTEM ayrıcalıklarıyla kod yürütebilir. Bu zafiyet CVE-2023-20036 referans numarası ile takip edilebilir. (Cisco IND sürüm 1.11.3'de bu hatalar giderilmiştir.) Modeling Labs'da bulunan zafiyet, harici kimlik doğrulama mekanizmasındaki kusurdan kaynaklanmaktadır. Harici kimlik doğrulama sunucusunda depolanan geçerli kullanıcı kimlik bilgilerine eriştiği takdirde web ara yüzünde oturum açarak bu güvenlik açığından yararlanabilir ve yönetici olarak oturum açabilir. Bu zafiyet CVE-2023-20154 referans numarası ile takip edilebilir. (Modeling Labs sürüm 2.5.1'de bu hatalar giderilmiştir.) SAP Zafiyetleri için Yama Yayınladı SAP Diagnostics Agent ve SAP BusinessObjects Business Intelligence Platform'unu etkileyen kritik öneme sahip iki güvenlik açığı için düzeltmeler içeren Nisan 2023 güvenlik güncellemelerini yayınladı. Detaylarına "En Son Yayınlanan SAP Zafiyetleri ve SAP Güncellemeleri" yazımızda detaylı ulaşabilirsiniz. MSI Fidye Yazılımı Saldırısına Uğradı MSI fidye yazılımı saldırısında şirket ağının ihlal edildiğini doğruladı. Money Message fidye yazılım grubu MSI'ın bazı sistemlerine sızdığını ve şirketin 4 milyon dolar fidye ödemeyi kabul etmemesi halinde sızdırdığı bir takım dosyaları dağıtacağını açıkladı.   Fidye yazılım grubu yaklaşık 1.5 TB boyutuna varan belgeleri sızdırdığını ve bu belgeler arasında ERP veri tabanları, yazılım kaynak kodu, özel anahtarlar ve BIOS üretici yazılımı içeren dosyaların ekran görüntülerini de paylaştı.    Fidye yazılımı grubunun sahip olduğu dosyalar ile kötü amaçlı ürün yazılımı oluşturarak kullanıcıyı güven oluşturup yüklemelerini sağlayabilir. MSI, firmware/BIOS güncellemelerini yalnızca resmi web sitesinden alınması ve diğer kaynaklardan dosya kullanımından uzak durulması konusunda uyaran bir bildiri yayınladı.  Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz; Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

En Son Yayınlanan SAP Zafiyetleri ve SAP Güncellemeleri

Yakın zamanda Hackerlar SAP'den Ne İstiyor? konu başlıklı bir yazı yayınlamıştık.
Bu yazımızda ise saldırıların oluşmasına yol açan açıklıklara dair detayları ve önlemleri işleyeceğiz.

11 Nisan tarihinde yayınlanan SAP güvenlik bülteninde, 24 ayrı konu belirtilmekte, bunların 5'i geçmiş güncellemeler ile çözülmüşken, bazılarınınsa çok yeni olduğu ve çok yüksek düzeyli risk içerdiğini görmekteyiz.

Liste başı risklerden bazıları;

CVE-2023-27267: SAP Diagnostics Agent, sürüm 720'nin OSCommand Bridge'i etkileyen yetersiz giriş doğrulaması ve eksik kimlik doğrulama sorunu, bir saldırganın bağlı agent'lar üzerinde komut dizileri yürütmesine ve sistemin tamamen tehlikeye atılmasına olanak tanıyor. (CVSS v3.1 puanı: 9.0)

CVE-2023-28765: SAP BusinessObjects Business Intelligence Platform (Promotion Management), sürüm 420 ve 430'u etkileyen, temel ayrıcalıklara sahip bir saldırganın lcmbiar dosyasına erişmesine ve şifresini çözmesine olanak tanıyan bilgilerin açığa çıkmasına dair güvenlik açığıdır. Bu açık, saldırganın platform kullanıcılarının parolalarına erişmesine ve ek kötü amaçlı eylemler gerçekleştirmek için hesaplarını ele geçirmesine olanak tanır. (CVSS v3.1 puanı: 9.8)

CVE-2023-29186: SAP NetWeaver sürüm 707, 737, 747 ve 757'yi etkileyen ve bir saldırganın güvenlik açığı bulunan SAP sunucusuna dosya yüklemesine ve dosyaların üzerine yazmasına olanak tanıyan dizin geçiş kusurudur. (CVSS v3.1 puanı: 8.7)

Açıkların tespit edildiği bu aşamada, SAP'nin çok kısa süredeki çalışmaları ile güncellemelerini hazır hale getirmesi ve yayınlaması dahi yeterli olmuyor.

(Geçmiş yazımızdan kısa bir hatırlatma; ortalama 72 saat içerisinde tespit edilebilmiş bir zafiyeti gideren güncelleme yayınlanabilse de, yayınlanan bu güncelleme haberinden sonra, ortalama 3 saat içerisinde saldırganlar bunu takip ediyor, erişiyor ve 1.5 saat içerisinde de tam başarılı bir saldırıyı tamamlayabiliyorlar.)

Saldırı hızlarının yüksek düzeyde olduğunu, savunma hızına kıyasla saldırganların çok avantajlı olduklarını söyleyebiliriz. Bu durumda ya zamanla yarışmak ya da en baştan planlı davranmak gerekiyor. (Bu konudaki çözümümüzü hatırlatmanın da tam yeri: TINA ISOLATOR detaylı bilgi)

Zaman Yarışı İle Savunma

SAP'nin 180 ülkede, 425.000 müşterisiyle küresel pazar payının %24'üne sahip olduğu, dünyanın en büyük ERP satıcısı olduğu bilinmekte, ayrıca Forbes Global 2000'in %90'ından fazlasının SAP'nin ERP, SCM, PLM ve CRM ürünlerini kullandığı belirtilmektedir.

Dolayısıyla saldırganlar çıkarları için her zaman büyük kurumsal ağlarda kullanılan SAP (veya benzeri yaygın ürünler) üzerinde kritik önemdeki kusurları arar haldeler.

Saldırganlar bir kaç ayrı çeşit kitleden oluşmakta; ileri düzey organize olmuş ve yüksek tekniğe sahip olanlar açıklığın yayınlanmasından önce onları kendi denemeleri ile bulup zafiyetten faydalanabilirken, kimi zaman da zafiyet ve/veya yama duyuruları yapıldıktan sonra zafiyetlerin kullanılması için hızlıca İnternet'i tarayan, bu taramalara yönelik kodlar yazan ve/veya dağıtan saldırgan kitleler de mevcut.

Özellikle yama yayınları duyurulduktan sonra, yamaların hızlı şekilde uygulanması riskin sona erdirilebilmesi için önemlidir, bu şekilde aksiyon alınması son dakika saldırı-savunma yarışında başarılı olunmasını sağlamaktadır.

Ancak, çalışılmakta olan yoğun tempoda fark edilmemesi, şartların uygun bulunmaması (donanım, insan kaynağı, bütçe vb.), servis veren sistemin müsait olmaması, ciro kaybı veya operasyonel durma riski gibi sebeplerden yamaların uygulanması genellikle gecikmekte.

Kimi zaman da yamaların yaratabildiği uyumsuzluk/verimsizlik/ani problemler gibi sebepler, güvensizlik doğurmakta, büyük (major) versiyon yükseltmeleri uygulanırken, tedirginlikten ötürü geçişlerin ertelenmesine yol açmakta.

Tam da bu nokta; geciken yamalar, riskin en yüksek düzeye ulaştığı anlar olarak en korkutucu dönemleri oluşturuyor.

Alternatif Çözüm: En Baştan Planlama, Yatırım ile Savunma

Güvenli erişim için ihtiyaç duyulan sebepleri burada kısaca hatırlatmak gerekirse:

(detayları içeren yazımız ise burada: En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA)

• Kurum iç ağından doğrudan erişim
• VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
• İnternet üzerinden herhangi bir uç noktadan direkt erişim

Eğer bu tür veya benzer düzeyde erişim ihtiyaçları varsa ve SAP'nin servis vermeyi hedeflediği kitle sınırlı ise; örneğin iş ortakları, tedarikçiler, bayiler, personel vb. sayıca ve kullanıcılar belirli ise, bu durumda bu servisin İnternet üzerinden erişilebilmesi, aslında tüm İnternet kullanıcılarının bu servisi görmesi gerektiği anlamına da gelmemekte. ZTNA - Zero Trust Network Access çözümümüz tam da bu tür ağ alanları yaratırken işi rahatlatıyor.

Bu ağ alanlarını  - dağınık ağ, dağınık yapı üzerinde çalışan kullanıcı kitleleri olsa dahi - izole edebilmek, hem güvenlik hem de performans açısından yüksek düzeyde fayda sağladığından, erişim yönetim sistemlerinin bu çalışmaları sağladığını ve bunlara yapılan yatırımın kısa vadede kendini amorte ettiğini hatırlatmak isteriz.

Hackerlar SAP'den Ne İstiyor?

Yalnızca SAP değil, tüm dijital sistemler, aynı temel sebeplerden ötürü saldırganların hedefinde.

İnternet üzerinden hızla erişmek, erişilmek demek, her zaman meraklı bir elin de uzanacağı kadar ortada olmak demek. Elbette riskli gördüğümüz alanlar için geliştirdiğimiz çözümler de mevcut (bknz. TINA ISOLATOR çözümümüz).

ARGE Çalışmalarımız Sonucunda Üretilen En Yeni Çözümümüz

TINA ISOLATOR® - ZTNA Çözümü Nedir?

Ağ yöneticilerinin servis ve/veya sunuculara olan tüm erişim ihtiyaçlarını Zero Trust yaklaşımı ile en güvenli şekilde sağlamak; erişimleri takip ve kontrol etmesini kolaylaştırmak amacıyla ARGE çalışmalarımızın sonucunda TINA ISOLATOR®'ü geliştirdik.

ZTNA (Zero Trust Network Access) çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

TINA ISOLATOR®, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.

Daha Çok; Risk, Yatırım ve Çözüm?

Yazımızda 4 ana bölümden bahsetmekteyiz:

• Artan riskler, artan yatırımlar ve sebepleri
• Başarılı siber saldırıların sırları
• Başarılı siber savunmanın sırrı
• Gelecekteki riskler ve Önlemler (ve reklamlar; TINA ISOLATOR çözümümüz)

Sebepler

Neden Daha Çok Güvenlik Riski Doğuyor, Daha Çok Yatırıma ve Çözüme İhtiyaç Duyulmakta?

Bu yazımızda, IT yöneticilerimizin ve kurumlardaki üst yöneticilerimizin neden daha yüksek düzeyde güvenlik yatırımları yapma ihtiyacı duyduklarını, dijital risklerin neden daha çok hissedildiğini ve neden birbirinden farklı, çok sayıda çözüm ile önlem alma ihtiyaçlarının oluştuğunu aydınlatmak, görüşlerimizi paylaşmak istedik.

Görüşlerimizin dijital yatırım bütçesini oluşturan ve güvenliğe makul düzeyde pay ayıran kurumlar için destekleyici nitelikte olmasını, henüz yeterli yatırımı yapamamış firmalar için de uyaran bir nitelikle olmasını hedeflemekteyiz.

Dijital Dönüşümde, Siber Güvenlik de Var

2020 yılında dünya genelinde zorunlu bir hızlı dijital dönüşümün gerçekleştiğine şahit olduk, bu durum kullanıcıların ve kurumların da dijitalleşmenin faydalarına dair farkındalığını hızla artırdı.

Hızlı dönüşüm ile birlikte dijitalleşmenin getirdiği problemler de artık göz ardı edil(e)memeye, - yeterli düzeyde olmasa da - eskiye nazaran daha yüksek güvenlik düzeylerinin uygulanmasına da yol açtı.

IT yöneticilerimizin özverili çalışmalarıyla, dijital yatırım temposunun da artmasıyla, güvenlik çalışmalarının daha da kolaylaştığını, göreceli yüksek bir disipline eriştiğini, eskiye nazaran daha çok emek harcandığını söylememek, başarılı ekipleri tebrik etmeyi atlamamak gerekir. Ancak yine de saldırganların uğrayacakları ilk adres olmayı engelleyecek önlemler, disiplinler ve yatırımlar için de çalışmalara hız kesmeden devam etmek zorunda olunduğunu belirtmeliyiz.

Geçmiş yıllarda güvenlik çalışmalarını yapabilmiş, sızma testleri veya ISO 27001 BGYS danışmanlıkları gibi çalışmaların sonucunda kendi güvenlik yol haritasını çıkartabilmiş olan firmalar, hem hızlı davranma hem de seçici olabilme lüksü ile bu süreçte güvenliğe oldukça fazla dokunabildiler. Ancak siber güvenlik hiçbir zaman sonuna ulaşılan ve hızla koşulan bir yarış değildir, bitmek bilmeyen bir maraton koşusu gibi; dönem dönem temposu artan, dönem dönem de sonu hiç gelmeyecekmiş gibi görünen bir yarıştır.

Siber Saldırılardaki Dönüşüm, Nihayet Stratejik Gündemlerde

Siber saldırıların son yıllardaki dönüşümlerini takip eden IT uzmanları ve politika oluşturucularının, nihayet 2015 yılından bu yana anlatmak istediğimiz noktaya hemfikir olarak eriştiğini ve IT yöneticilerinin de  dikkatinin hızla bu yöne çekilmeye başladığını görmekteyiz.

Siber saldırılar, eski dönemlerde alışıldığı gibi, tek tip saldırı metodu ile gerçekleştirilip takibin sona erdirildiği ataklardan oluşmuyor, eski dönemlerde olduğu gibi en sık ortaya çıkan saldırı trendlerine karşı önlemler alıp beklemeye geçmek yeterli fayda sağlamamakta, saldırıların orta vadeli seçilmiş yatırım planlarıyla engellenebilmesi, etkili olmasını beklemek - yaklaşık 2015 yılından bu yana - mümkün olmamaktadır.

Dönemsel veya rakamsal çoğunlukta gözlemlenen saldırı metotları, yalnızca istatistikleri, popülerliği işaret etmekte, savunma stratejisinde geçerli bir anlam ifade etmemektedir. Bu bakış açısından daha ziyade doğru olan, geçerli olan savunma metodolojisinin; yeni oluşan saldırı vektörlerinin hızla izlenmesi yolu olduğunu, son dönemde de bunun büyük önem kazandığını söyleyebiliriz.

Aşağıdaki 2 görsel ile 2018-2019-2020 raporlarındaki farklılaşmaların zaten az miktarda olduğunu ve anlamsal ifadesinin zayıf olduğunu, bu nitelikte bir bakış açısının verimli önlemler doğurmadığını belirtmek amacıyla paylaşmak istedik.

ENISA (Avrupa Birliği Siber Güvenlik Ajansı) 2018 yılı saldırı değerlendirme raporunda belirtilen ilk 15 saldırı türü:

ENISA 2020 yılı saldırı değerlendirme raporunda belirtilen ilk 15 saldırı türü:

Karmaşıklaşan, Sürekli Dönüşen Saldırılar

Uzunca zamandır belirli bir metoda karşı tekil savunmanın uygulanmasının artık siber güvenlikte ilkel bir önlem alma metodu olduğunu ve başarılı olunduğu önyargısının da hatalı olduğunu belirtmekteyiz.

Advanced Persistent Threat - İleri Düzey Kalıcı Tehdit (APT)

Sıklıkla, yalnızca tek bir sistemin yeterli olmadığını, bu sistemlerin de güvenlik zafiyetleri oluşturduğunu, birden fazla metodolojinin uygulanarak, farklı zaman dilimlerinde, farklı saldırı türlerinin başarılı olarak birleştirilmesi ile karışık, hedefli saldırıların yapıldığını, Zero Day saldırıların varlığını, gerçek olduğunu "Advanced Persistent Threat" türündeki saldırıları ve bunların birer hayal olmadığını 2015 yılından bu yana hibrit bir savunma teknolojisi olan TINA Protection çözümümüzü tanıştırırken, neredeyse binlerce farklı kurumda dile getirtmişizdir.

Son dönemlerde ENISA raporlarından da gözlemlendiği üzere, siber saldırılarda farklı metotları birleştirme stratejisinin gözle görülebilecek kadar çok yaygınlaştığını, sıkça raporlanmalarını da, siber saldırganların karmaşık ve dinamik saldırı stratejileri ile başarıya ulaşmalarının sonuçlarını da hep birlikte sızan veriler ile yakından gözlemledik.

2020 yılında, pandemi ile birlikte görülen, ileri seviye gruplarca düzenlenen (APT) atak metodolojileri:

2021 yılı tehdit vektörleri:

2022 yılı tehdit vektörleri:

Son dönemde değişen ve gelişen tüm bu başarılı saldırı stratejilerinin sonucu olarak, kurumlar artık birden farklı teknik çözümü birlikte kullanmak zorundalığı ile karşılaşmışlardır. Farklı saldırı noktalarını engelleyebilmek için farklı çözümleri konumlandırmak ve işletmek gereksinimindedirler. ( Detaylı saldırı vektörü sunumumuzu dinlemek için bizimle iletişime geçebilirsiniz: [email protected] veya 0216 450 25 94 )

SIRLAR

Artan Başarılı Saldırının Sırlarından Birisi: Çeşitsizlik!

Dünya devi olarak bilinen ve güvenimizi kazanan IT yöneticisinin en yakın güvenlik dostu olan Firewall'un yeri geldiğinde rahatlıkla geçilebilir bir teknoloji olduğunu, 6 ayda en az 6 kez uzaktan root kullanıcısı hesabına erişilebilen dünya markası firmanın, kullanıcılarını kabus dolu günlerde yalnız bıraktığını, güvenlik yamalarının yetiştirilemediği, saldırıları engelleyemez hızlarda güncellemelerin oluşturulabildiğini hatırlatmak, risk dağılımı ilkesinin öneminin altını çizmek amacıyla yazımızda tam da burada tekrar dile getirmek istedik!

Tek marka ile tüm ağın, uç noktaların, denetimini ve operasyon yönetimini kolaylaştırmış olmanın, riski de tek noktaya taşımak olduğunu yeniden hatırlatmak; marka çeşitliliği ile, görev dağılımı çeşitliliği ile risklerin belirli bir tabana yayılmasının sağladığını, önlemlerin birbirini desteklemesi gerektiğini de vurgulamak isteriz.

Başarılı Saldırının Sırlarından Bir Diğeri: Önyargı!

Farklı kurumların farklı disiplinleri yürütmesi oldukça olağan bulunmaktadır. IT yöneticileri kurum içerisindeki operasyon akışının bilişime olan yansıması, kurum bütçesi, kullanıcıların yatkınlığı ve zamanlama gibi pek çok farklılık gösteren bileşeni uygulamakta ve kaynaklarını yönetmekte, bunu icra ederken de gerçekten zaman, bütçe, insan gücü kısıtı gibi çok farklı ve ağır sınavlardan geçmekte.

Hem kullanıcı davranışları, talepleri gibi insani faktörler ile ilgilenmek, yeri geldiğinde mücadele etmek, hem de teknolojinin değişimini takip etmek, son yenilikleri uygulamak için çabalamak, az miktardaki insan kaynağı gücü ile erişilmesi pek kolay değildir. Ancak burada başarısız bir savunmaya sebep olduğunu gözlemlediğimiz ve yıllardır sıkça yapılan hatalardan birisinin pek çok kurumda ekip ve bütçe boyutundan bağımsız olarak aynı sebep ile karşımıza çıktığını gördüğümüzü belirtmek ve bunun da zararlarını azaltmak amacıyla altını çizmek istedik; "Önyargı"nın saldırganların işini kolaylaştıran bir şekilde karşımıza çıktığını söylemeliyiz. Bu durum hem çeşitsizliği tetiklemekte, hem yeniliğe olan bakış açısını etkileyerek zaman kaybına yol açmakta, hem de aslında yetersiz kalan önlemler ile olumsuz sonuçlar yaşanmasını kaçınılmaz kılmakta.

Artan Saldırılara Karşı En Büyük Savunma Silahı: Bütçe ve Üst Yönetimin Desteği!

Bir çok kurumda IT yöneticileri, üst yönetimin desteğini alabilmek, çeşitli yatırımları yaptırabilmek için adeta global ekonomiye karşı savaş veriyor. Böylesine çalkantılı bir ekonomik düzleme eriştiğimiz için artık yatırımlar yapılırken kullanım kolaylığına ve lisans çeşidi bolluğuna kaç(a)madan, kurumun çıkarlarının çok daha ön planda tutulduğu, projelendirme adımlarının daha dikkatle atıldığını görmekteyiz.

IT yöneticilerimizin çok sayıda farklı ürüne geçiş yapması, ihtiyacı daha iyi karşılayan yeni ürünleri kurum bünyelerine katmak istemesi, üst yönetim tarafından bakıldığında çok kolaylıkla anlaşılmasa dahi, dijital dönüşüm çabaları ve geçmişe nazaran IT biriminin operasyondaki öneminin de artmasıyla, daha başarılı bütçeleme ve iş planı yapılabilmesini de sağlamakta.

Saldırılara Karşı İkinci Büyük Silahımız: Eğitim ve Faydayı Öğrenme!

IT yöneticileri kurum çalışanlarınca yeni teknolojiyi öğreten ilk taraf olarak biliniyor, ancak yine de güvenlik söz konusu olduğunda kullanıcılar bazen kendilerine bahsedilen basit ama çok büyük etkisi olan önlemleri göz ardı edebiliyor.

Bu durumda mutlaka 3ncü bir taraftan, özellikle güvenlik uzmanlarından faydalanılmasını önermek, öğretimlerin kurum dışı danışmanlarca yürütülmesinin büyük faydasının bulunduğunu belirtmek istiyoruz. Özellikle saldırı senaryoları üzerinden anlatılan, pek çok gerçek saldırı örneği kullanıcı hafızasında daha kolay yer etmekte, IT yöneticilerimizin veya İnsan Kaynakları birimimizin eğitim çabalarını destekleyici, ezber kuvvetlendirici sonuçlara erişmeyi sağlamaktadır.

Kurum içi eğitimlerin yalnızca kurum kullanıcılarının değil, IT yöneticilerimizin de işlerini çok kolaylaştırdığını hatırlatmak isteriz.

Saldırılara Karşı Vakit ve Nakit Kazandıran Faktör: Net Faydayı Öğrenme!

Son olarak da IT yöneticilerimizin çeşitli yeni teknolojileri takip ederken teknik bilgiye erişimini kolaylaştırabilmek üzere adım atan markalardan faydalanmasını, firma tanıtım etkinliklerinde salt pazarlama taktiklerine renkli, tatlı ve loş ortamlara maruz kalmaktan ziyade, fayda çıktısı yüksek sunumları özellikle talep etmesini önermekteyiz.

Yeni ürün lansmanlarında genellikle teknik problem veya temel ihtiyaçtan daha çok, pazarlama gücünün gösterildiği, ortam ve insani ilişkilerin ön plana alınmaya çalışıldığı ancak kurumsal veya bireysel bilgi birikimi kazancının elde edilemediği çalışmaların yürütüldüğü gözlemlenmekte. Tüm markaların kullanıcısına daha çok değer katması temennisi ile; IT yöneticilerimizin özellikle kendilerine faydasını, güncel ve/veya gelecek teknolojik dönüşümleri ve teknik bilgileri sunan markaları tercih etmelerini önermekteyiz.

Bu konuda geçmiş tanıtım çalışmalarımızda tanıştığımız, ticari çalışma ilişkisi kuramasak dahi dönemsel olarak yine de bir araya gelip teknoloji tartıştığımız, fikir alışverişi yaptığımız çok sayıda paydaş kurum olduğunu gururla belirtmek isteriz. ( Detaylı saldırı vektörü sunumumuzu dinlemek için bizimle iletişime geçebilirsiniz: [email protected] veya 0216 450 25 94 )

GELECEKTEKİ RİSKLER VE ÖNLEMLER

Siber saldırganlar, sistemlerin birbirleri ile olan iletişimlerinin artması ve dijitalleşme uygulanan alanların artması ile saldırı alanlarını genişletebildi, geçmişe nazaran daha çok saldırı yüzeyi savunulmakta.

Siber saldırıların ileriki dönemlerde daha başarılı olması ihtimali, siber savunmanın başarılı olması ihtimalinden daha yüksek görünmekte. Çünkü pek çok kurum elindeki bütçe imkanını geçmişten gelen risk tespitlerinin sonucunda planladığı yatırımlara kullanıyor ve genelde savunma teknolojisini gecikerek bünyesine dahil ediyor. Bu zorlu durum karşısında ise saldırganların işi ise çok daha basit, var olan tüm yeni teknolojik düzlemler üzerinden karmaşık hedefleme metotları ile saldırmak ve başarıya ulaşmaya çalışmak!

Bu durumda risk faktörü olarak artan vektörün geldiği yöne odaklanılmasını doğru bulmaktayız. Önümüzdeki dönemlerde risk savunmasındaki en gerçekçi çözümün dışarıdan gelecek olan sunucu, servis, uygulama ortak paydasında buluştuğunu, çıkar getirisinin en çok bu alandan sağlandığından saldırganlarca gittikçe tercih edilmeye başlandığı ve başa yerleşmiş güvenlik üreticilerinin ise yeterli savunma sonucu veremediğini görmekteyiz.

Dolayısıyla, önümüzdeki dönemlerde İnternet'ten, dış ağ alanlarından ağ alanınıza, sunucularınıza yönelik gerçekleştirilebilecek olan saldırılara karşı daha fazla hazırlıklı olmanızı, eğer tün İnternet üzerinden gelecek olan riski üstlenmeniz gerekmiyorsa, riski azaltacak çözümleri devreye almanızı önermekteyiz; anahtar kelimemiz ise "ZTNA - Zero Trust Network Access".

VE REKLAMLAR!

GÜNCEL TEHDİTLERE KARŞI YENİ ZTNA ÇÖZÜMÜMÜZ

ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.

YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/)

TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.

Dene ve Al Stratejisini Öneriyoruz

Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.

TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

E-posta ile: [email protected]

Online Tanıtım randevunuzu buradan da başlatabilirsiniz.