apt saldırıları etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
apt saldırıları etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

27 Ekim 2023

Siber Güvenlik Bülteni - Ekim 2023

 

Bültenimizin Ekim Ayı konu başlıkları; 
    • Cisco 0. Gün Zafiyeti
    • Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri
    • VMware Kritik vCenter Zafiyetini Yamaladı
    • NSA ve CISA'dan En Önemli 10 Yanlış Yapılandırma

    Cisco 0. Gün Zafiyeti

    Cisco aktif olarak istismar edilen IOS XE yazılımını etkileyen kritik bir kusur hakkında kullanıcılarını uyardı. Web kullanıcı ara yüzünden kaynaklanan zafiyeti CVE-2023-20198 referans numarası ile takip edebilirsiniz, ayrıca zafiyet CVSS'de maksimum puan olan 10.0 üzerinden derecelendiriliyor.

    Zafiyet, Cisco IOS XE yazılımını çalıştıran ve aynı zamanda HTTP veya HTTPS sunucu özelliği etkinleştirilmiş olan hem fiziksel hem de sanal cihazları etkilemektedir. Önlem olarak, internete bakan sistemlerde HTTP sunucusu özelliğinin devre dışı bırakılması önerilir. 

    Cisco zafiyeti ilk olarak 18 Eylül 2023'te kimliği belirsiz bir müşteri cihazında, yetkili bir kullanıcının şüpheli bir IP adresinden "cisco_tac_admin" kullanıcı adı altında yerel bir kullanıcı hesabı oluşturduğu kötü amaçlı etkinlik tespitinden sonra keşfettiğini söyledi. 12 Ekim 2023'te tespit edilen ikinci bir ilgili etkinlik kümesinde, yetkisiz bir kullanıcı, farklı bir IP adresinden "cisco_support" adı altında bir yerel kullanıcı hesabı oluşturdu.

    İlk belirlemelere göre zafiyetin kullanıldığı ve arka kapı oluşturulan 41.983 sistem tespit edildi. Cisco gerekli yamaları yayınladı, uzmanlar ise birçok kurumun yama yayımlansa bile yamayı uygulamayı gerçekleştirmediğini, bu yüzden bu zafiyetin uzun süreler boyunca aktif olarak istismar edileceğini belirtiyor.


    Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Kurumların 0 Güven (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri

    Tehdit aktörleri, eğer para kazanabileceklerine ve yakalanmadan bu işten sıyrılabileceklerine inanıyorlarsa, ne kadar büyük ya da ne kadar küçük olursa olsun farketmeksizin, her türlü işletmeyi gerçekten hedef alacaklardır.

    Kritik kurumlar (Altyapı, Enerji, Finans, E-Ticaret, Büyük Kamu vs.) genellikle kendilerini siber saldırılara karşı korumak için gerekli güvenlik ekiplerine, şirket içi bilgi paylaşımlarına ve becerilere veya pahalı ve gelişmiş güvenlik ekipmanlarına sahipken, orta ve küçük ölçekli şirketler için bu durum çoğu zaman geçerli değildir. Sonuç olarak, orta ölçekli işletmeler savunmasız kalmakta ve kuruluşlarını dijital ortamda gerektiği gibi savunamamaktalar.

    Forbes'ın 2022 tarihli bir araştırmasında; küçük ve orta ölçekli işletmelerin (KOBİ'lerin) "siber suçlular tarafından hedef alınma olasılığının büyük şirketlere kıyasla üç kat daha fazla" olduğunu gösteriyor.

    Bu ölçekteki kurumlar hedeflenirken, saldırılar genel olarak şu noktalara odaklanırlar;
    •  Tedarik Zinciri Saldırıları
    •  Oltalama Saldırıları
    •  Gelişmiş Kalıcı Ataklar (APT)
     
     "0 Güven" (Zero Trust) Mimarisine Neden İhtiyaç Duyuluyor
     
     1. Geleneksek güvenlik modellerine bağımlı olmak şirketleri dışarıdan gelecek saldırılara karşı savunmasız hale getirmekte.
     2. Ağda, çalışanların gereğinden fazla erişim sahibi olması kasıtlı yada kasıtsız iç tehditlere zemin hazırlamakta.
     3. Yetersiz erişim kontrolünün olması uygulama ve hizmetlere erişim konusunda büyük tehlike doğurmakta.
     4. Kaynak yetersizliği, düzenli bakım ve takibi zorlaştırmakta.
     5. Oluşan tehditlere karşı yavaş tepki verilmesi tahribatın ölçeğini artırmakta.
     6. Uzaktan çalışma ile birlikte çalışanların dışarıdan erişim ihtiyacı esnekliğe sebebiyet vermekte.
     7. İş ortaklarının da ağa dahil olma ihtiyacı ile erişim kontrolü daha zor sağlanmakta.
     8. Giderek artan veri sızdırma olayları görülmekte.
     9. Güvenlik yaklaşımı proaktif yerine reaktiftir, bu da siber vakaların gerçekleşmesinden sonra müdahale anlamına gelir ki bu çok pahalıdır ve daha geniş düzeyde zarar vermekte.
     10. Son dönemlerde VPN gibi dışarıya açık olan hizmetler saldırıya daha sık maruz kalmakta.


    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    VMware Kritik vCenter Zafiyetini Yamaladı

    VMware, vCenter zafiyeti için etkilenen sistemlerde uzaktan kod yürütülmesine neden olabilecek kritik bir zafiyeti gidermek için güvenlik güncellemeleri yayınladı.

    CVE-2023-34048 referans numarası ile takip edilen zafiyet, DCE/RPC protokolünün sınır dışı yazma güvenlik açığı olarak tanımlandı. VMware, eksikliği giderecek herhangi bir geçici çözüm bulunmadığını ve yazılımın aşağıdaki sürümlerinde güvenlik güncellemelerinin sunulduğunu söyledi;
    • VMware vCenter Server 8.0 (8.0U1d or 8.0U2)
    • VMware vCenter Server 7.0 (7.0U3o)
    • VMware Cloud Foundation 5.x and 4.x

    Bu zafiyeti hedef alan saldırılarda potansiyel olarak şu portlar kullanılmaktadır; 2012/tcp, 2014/tcp, ve 2020/tcp. Zafiyet yamalarına buradan ulaşabilirsiniz.

    Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]
     

    NSA ve CISA'dan En Önemli 10 Yanlış Yapılandırma

    Amerika Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün büyük kuruluşların ağlarında kırmızı ve mavi ekipleri tarafından keşfedilen en yaygın on siber güvenlik yanlış yapılandırmasını açıkladı.

    Paylaşılan belge aynı zamanda tehdit aktörlerinin bu yanlış yapılandırmalardan, erişim kazanmak, yatay hareket etmek ve hassas bilgi veya sistemleri hedeflemek de dahil olmak üzere çeşitli amaçlarla başarılı bir şekilde yararlanmak için hangi taktikleri, teknikleri ve prosedürleri (TTP'ler) kullandığını da ayrıntılarıyla anlatıyor.

    Bunlar ise özetle;
    1. Yazılımların ve uygulamaların varsayılan yapılandırmaları
    2. Kullanıcı ve yönetici ayrıcalıklarının hatalı yapılandırılması
    3. İç ağın yetersiz takibi
    4. Ağ segmentasyonunu eksikliği
    5. Yetersiz yama yönetimi
    6. Sistem erişim kontrollerinin atlanması
    7. Zayıf veya yanlış yapılandırılmış çok faktörlü kimlik doğrulaması (MFA)
    8. Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL)
    9. Yetersiz kimlik hijyeni
    10. Sınırsız kod yürütme

    olarak belirtilmiş.

    Bunlara ek olarak yapılacak bazı güvenlik iyileştirmelerini de ekledi;

    1. Varsayılan hesapları ve yapılandırmaları kaldırmak
    2. Kullanılmayan hizmetleri servis dışı bırakmak ve sıkı takibini yapmak
    3. Düzenli olarak güncellemelerin takibinin yapılması ve yamaların otomatikleştirilmesi, istismar edilen bilinen zafiyetlerin kapatılmasına öncelik verilmesi
    4. Hesaplarının ayrıcalıklarının azaltılması, kısıtlanması ve denetlenmesi

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    28 Eylül 2023

    Siber Güvenlik Bülteni - Eylül 2023

     

    Bültenimizin Eylül Ayı konu başlıkları; 
      • Cisco'da Kritik Zafiyetler
      • Fortinet Ürünlerinde Yüksek Dereceli Zafiyet
      • APT'ler Hava Yolu Şirketlerini Vurdu
      • Apple'da 3 Yeni Zero-day Zafiyeti
      • Microsoft AI Ekibi "Yanlış Yapılandırma" Kurbanı

      Cisco'da Kritik Zafiyetler

      Cisco yakın zamanda ürünlerinde farklı zafiyetler tespit etti ve bunlarla ilgili yamalar yayınladı. Cisco'nun bu zafiyetleri BroadWorks Application Delivery Platform and BroadWorks Xtended Services platformlarında tespit edildi.

      CVE-2023-20238 referans numarası ile takip edilen zafiyet; tekli oturum açma (SSO) servisinde tespit edildi. Zafiyet, kimliği doğrulanmamış uzaktaki bir saldırgan tarafından sahte kimlik bilgileri oluşturmak ve etkilenen sistemlere erişmek için kullanılabilir.

      Cisco, sorunun AuthenticationService, BWCallCenter, BWReceptionist, CustomMediaFilesRetrieval, ModeratorClientApp, PublicECLQuery, PublicReporting, UCAPI, Xsi-Actions, Xsi-Events, Xsi-MMTel veya Xsi-VTR çalıştıran BroadWorks sürümlerini etkilediğini söylüyor. AP.platform 23.0.1075.ap385341 sürümü güvenlik açığını gidermekte, Cisco ayrıca gerekli yamaları içeren 2023.06_1.333 ve 2023.07_1.332 bağımsız sürümlerini de duyurdu.

      CVE-2023-20243 referans numarası ile takip edilen zafiyet ise, ISE (Identity Service Engine) üzerinde DoS'a sebebiyet vermektedir. Saldırgan Cisco ISE cihazına sürekli özel paket göndererek, RADIUS'un yeniden başlatılmasına neden olup, kullanıcının ağa veya hizmetine erişimini engelleyebilir.

      Güvenlik açığı yalnızca Cisco ISE sürüm 3.1 ve 3.2'yi etkiliyor ve Cisco ISE sürüm 3.1P7 ve 3.2P3'ün yayımlanmasıyla giderildi.

      CVE-2023-20269 referans numarası ile takip edilen zafiyet; Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) yazılımında tespit edildi, VPN servisinde kullanılan zafiyet ile geçerli kullanıcı kimlik bilgilerine erişimi olan bir saldırgan, yetkisiz bir kullanıcıyla istemcisiz bir SSL VPN oturumu kurmak için bu kusurdan yararlanabiliyor.

      Zafiyet, Cisco'nun Akira fidye yazılımı saldırılarını araştırırken tespit edildi, Ağustos 2023'den beri de hali hazırda bu zafiyetin çeşitli yerlerde kullanıldığı belirlendi. Cisco'nun zafiyet için henüz bir yaması bulunmamakta, yamalar yayınlanana kadar buradaki öneriler kısmından faydalanabilirsiniz.


      Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Fortinet Ürünlerinde Yüksek Dereceli Zafiyet

      Fortinet, yüksek dereceli cross-site scripting ve CSRF zafiyeti için yeni yama yayınladı. Fortinet ürün ailesinden FortiOS, FortiProxy ve FortiWeb ürünleri zafiyeti barındırmaktadır.

      Fortinet bu zafiyet ile, kimliği doğrulanmış bir saldırganın, JavaScript kodunun yürütülmesini tetiklemek için hazırlanmış olan misafir yönetimi ayarlarını kötü amaçlı olarak kullanmasına izin verebileceğini belirtiyor.

      CVE-2023-29183 referans nolu zafiyet, FortiProxy'nin 7.0.x ve 7.2.x sürümlerini ve FortiOS 6.2.x, 6.4.x, 7.0.x ve 7.2.x sürümlerini etkiliyor. Fortinet bu zafiyetin kapatılması için FortiProxy 7.0.11 ve 7.2.5 sürümlerini ve FortiOS 6.2.15, 6.4.13, 7.0.12, 7.2.5 ve 7.4.0 sürümlerini yayımladı.

      Fortinet "bir saldırganın mevcut XSS ve siteler arası sahtecilik (CSRF) korumalarını atlamasına olanak verebileceğini" açıklıyor.

      CVE-2023-34984 referans nolu zafiyet,  FortiWeb'in 6.3, 6.4, 7.0.x, and 7.2.x sürümlerini etkiliyor. Fortinet bu zafiyeti kapatmak için de FortiWeb  7.0.7 and 7.2.2 sürümlerini yayımladı.

      Sistemlerin en kısa sürede güncellenmesi öneriliyor, Fortinet henüz bu konuyla alakalı bir saldırı girişimi bilgisi vermese de bu zafiyetlerin hali hazırda kurumlara sızılmak için kullanıldığı düşünülüyor.

      Eğer sistemlerinizde ilgili yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      APT'ler Hava Yolu Şirketlerini Vurdu

      ABD'li bir havacılık kuruluşunun güvenliği, Zoho ve Fortinet'in bilinen güvenlik açıklarından yararlanan çok sayıda saldırgan grupların arka arkaya saldırılarıyla tehlikeye girdi.

      Her iki zafiyette kritik olarak derecelendirilirken, CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı) tarafından KEV (Bilinen İstismar Edilen Zafiyetler) kataloğuna da eklendi. Kurumlara da güvenlik sistemlerinin ve güvenlik duvarları dahil yapılarının gerekli yamaların uygulanması için uyarıda bulundu.

      APT (Gelişmiş İleri Seviye Atak) grupları, Zoho ManageEngine ServiceDesk Plus'a yetkisiz erişim sağlamak için uzaktan kod yürütmeye imkan sağlayan CVE-2022-47966 referans numaralı zafiyetten faydalandı.

      Diğer APT grupları Fortinet güvenlik duvarında varlık oluşturmak için FortiOS SSL-VPN'deki arabellek taşmasına imkan sağlayan  CVE-2022-42475 referans numaralı zafiyetten faydalandı.

      Saldırıların Ocak ayından beri sürdüğü düşünülüyor. Yapılan saldırılar ve metotlar tek bir saldırgan grubun değil, birden fazla grubun olduğunu gösteriyor. APT gruplarının öncelikle ağda erişim kazandığı, yönetici yetkileri hesap oluşturduğu, zararlı yazılım indirebildiği, yönetici kullanıcı bilgilerini toplayabildiği ve kuruluş ağında yatay olarak hareket ettiğini gösteriyor.

      APT gruplarının aynı zafiyetler ile bu yılın başından itibaren, birçok sağlık kuruluşu, orta ölçekli internet sağlayıcısı gibi kritik noktalara sızdığı biliniyor. APT gruplarının İnternete açık cihazları sürekli olarak takip ettiğini ve her geçen gün çıkan zafiyetler ile birlikte dikkatlerini çektiğini unutmamak gerekiyor.


      Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]
       

      Apple'da 3 Yeni Zero-day Zafiyeti

      Apple, bir casus yazılım satıcısının iPhone'ları hacklemek için kullandığı 3 sıfır gün güvenlik açığını düzeltmek için acil güncelleme yayımladı. Bu zafiyetlerin güncellemeler öncesinde aktif olarak kullanıldığı da düşünülüyor. 

      Bu zafiyetler; kötü amaçlı bir uygulamanın imza doğrulamasını atlamasına olanak tanıyan CVE-2023-41991, yerel bir saldırganın ayrıcalıkları yükseltmesine olanak tanıyan bir çekirdek kusuru olan CVE-2023-41992 ve hedeflenen kullanıcıyı kötü amaçlı bir web sayfasına çekerek keyfi kod yürütmek için kullanılabilen bir Webkit olan CVE-2023-41993 numaralarıyla biliniyor.

      Apple bu güvenlik açıklarını, iOS ve iPadOS (sürüm 17 ve 16 dahil), macOS (Ventura ve Monterey dahil) ve watchOS'ta yamaladı. Daha önce CVE-2023-41064 referans numarası ile takip edilen sıfırıncı gün zafiyetinin Pegasus casus yazılımını iPhone'lara dağıtılmak için kullanıldı.

      Microsoft AI Ekibi Yanlış Yapılandırma Kurbanı

      Microsoft'un AI GitHub deposunda bulunan ve 30.000'den fazla dahili Microsoft Teams mesajı da dahil olmak üzere verilerin açığa çıkması olayı, yanlış yapılandırılmış bir paylaşılan erişim imzası (SAS) belirtecinden kaynaklandı.

      Uzmanlar, Microsoft'un yapay zeka araştırma ekibinin GitHub'da bir dizi açık kaynak eğitim verisi yayınlarken, iki çalışanın iş istasyonlarının disk yedeklemesi de dahil olmak üzere 38 terabaytlık ek özel veriyi yanlışlıkla açığa çıkardığını keşfettiklerini söyledi. Ayrıca bunların işbirliği ve veri paylaşımı için değerli bir araç olmasına rağmen, yanlış yapılandırıldığında veya yanlış kullanıldığında iki ucu keskin bir kılıca dönüşebileceğini söyledi.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      07 Ekim 2020

      Siber Güvenlik Bülteni - Eylül 2020

      Fidye Saldırısı Can Almış Olabilir


      Almanya’da Düsseldorf Üniversite Hastanesi’nde yaşanan fidye yazılımı saldırısı 1 kişinin ölümüne sebep olmuş olabilir.

      Birçok fidye yazılımı çetesi, salgının başlarında hastaneleri ve sağlık tesislerini hedeflemeyeceklerini söylese de son zamanlardaki sağlık sektöründe yaşanan olaylar gerçekleri göz önüne seriyor.

      Eylül ayında yaşanan olayda siber saldırganlar, Citrix VPN sistemindeki bir zafiyeti kullanarak hastanenin otuzdan fazla sunucusunu şifreledi ve sistemlere zarar vererek çalışılamaz hale getirdi. Sistemleri çalışmayan hastane ise acil olarak gelen talepleri geri döndürmek zorunda kaldı.

      Saldırının yaşandığı gün raniden ahatsızlanan bir kadın ambulans ile bu hastaneye taşınmak istendi ancak sistemleri çalışmayan hastane ambulansı 30 km uzaklıktaki başka bir hastaneye yönlendirdi. Durumu ağırlaşan hasta diğer hastaneye ulaşamadan yolda hayatını kaybetti.

      Yetkililer ve uzmanlar, hastanın fidye yazılımından dolayı hastanede tedavi olamadığı ve bu yüzden öldüğü tespit edilirse fidye yazılımı soruşturmasına ek olarak cinayet soruşturulması da açılabileceğini ve siber saldırıdan dolayı yaşanan ilk ölüm olabileceğini belirtti.

      Zararlı yazılımlar ve hedef arayan saldırganlar, internet üzerinde servis veren sunucuları otomatikleştirilmiş şekilde tarayarak, hedef seçerken zafiyet odaklı da otomatik seçim yapabiliyor. Bu durum, hiç kimse istemese dahi bu tip sonuçları da beraberinde getiriyor.


      Zerologon Haberleri Duyulmaya Başlandı


      Geçtiğimiz ay blog yazımızda paylaştığımız, kritik seviyesi 10 üzerinden 10 olarak belirtilen ve CVE-2020-1472) olarak numaralandırılan Zerologon zafiyeti ile ilgili saldırı haberleri gelmeye başladı.

      Microsoft Security Intelligence (Microsoft Güvenlik İstihbaratı) twitter üzerinden açıklama yaparak hackerların Zerologon zafiyetini sömürdüğünü ve bazı saldırıları tespit ettiklerini belirtti.

      Saldırganlar, Netlogon kimlik doğrulama sürecindeki güvenlik özelliklerini devre dışı bırakma ve Active Directory üzerindeki bir bilgisayarın parolasını değiştirebilme kusurundan yararlanabiliyor.


      Eğitim Kurumları Hackerların Yeni Gözdesi



      Covid 19 salgını ile birlikte gelen uzaktan eğitim zorunluluğu, siber saldırganların da ivmelerinin bu sektöre kaymasına sebep oldu. 

      Hindistan merkezli çevrimiçi öğrenme platformu Edureka, siber saldırganların kurbanları arasında yer aldı. 2 milyona yakın kullanıcının kişisel verilerinin parola koruması bulunmayan bir veritabanından çekildiği belirtildi.  27 Gb boyutunda ve 45 milyon kaydın bulunduğu ve 2 milyon Edureka kullanıcısının isim, e-posta adresi, telefon numarası ve yaşadığı ülke bilgisi yer alıyor. 

      Amerika’da yaşanan bir olayda ise merkezi Las Vegas’ta bulunan bir okula siber saldırı düzenleyen saldırganlar sistemleri şifreleyerek fidye talep etti. Fidye talebine olumlu dönüş yapmayan okul yönetimine karşı siber saldırganlar bazı öğrencilere ait kişisel bilgileri internette yayınlamaya başladı. Uzmanlar, bu yıl Amerika’da 50’den fazla eğitim kurumunun fidye yazılımı saldırısına uğradığını belirtti.

      Avustralya’da ise, eğitim bakanlığının veritabanına sızan saldırganlar 1 milyona yakın öğrenci, öğretmen ve personelin kişisel verileri ile şifrelerini çaldı. Saldırının nasıl gerçekleştiği henüz kesinleşmiş olmasa da üçüncü parti bir yazılım olan ve ülke genelinde yüz binden fazla öğretmenin kullandığı K7Math isimli uygulamadan kaynaklandığı düşünülüyor.


      REvil'in Son Kurbanı Banka Oldu


      Şili’nin tek kamu bankası ve ülkenin en büyük 3 bankasından birisi olan BancoEstado yaşanılan siber saldırının ardından ülkedeki tüm şubelerini geçici olarak kapatmak zorunda kaldı.

      Yapılan ilk açıklamaya göre bir çalışanın REvil fidye zararlısı içeren bir dosyayı açtığını ve hackerların bu dosya ile kendilerine arka kapı oluşturarak içeri sızdığı yönünde.

      Cuma’yı Cumartesine bağlayan gece, saldırganlar oluşturdukları arka kapıdan sisteme girerek tüm bilgisayarları şifrelemeye başladı. Cumartesi günü nöbetçi  çalışanlar, şirket dosyalarına erişemediklerini bildirdiler ve yapılan incelemede tüm sistemlerin REvil fidye zararlısı ile şifrelendiği tespit edildi.

      Banka tarafından yapılan açıklamada internet sitesi, bankacılık platformu, mobil uygulamalar ve ATM ağı saldırıdan etkilenmedi.

      REvil fidye grubunun kurbanları arasında büyük isimler yer alıyor. Aynı grup 2019 yılında Şili’de ATM altyapılarını birleştiren bir şirkete de saldırı düzenlemişti.


      QNAP Kullananlar Dikkat


      Tayvan’lı donanım üreticisi QNAP, NAS cihazlarını kullanan firmaları yeni bir fidye yazılım türünün kurbanı olmamaları için yazılım ve uygulamalarını güncellemeye çağırıyor.

      3 yıl önce keşfedilen ve bugün tekrar gündeme gelen açık, saldırganların uzaktan erişim açığını yoğun şekilde istismar etmesine ve veri sızdırmalarına sebep oldu. 

      Yapılan yeni bir açıklamada ise AgeLocker isimli fidye yazılımı ilk olarak bu yılın Haziran ayında NAS cihazlarına bulaşmaya başladı ve etkilenen sistemlerin güncel yaması yapılmamış sistemler olduğu belirtildi.

      Uzmanlar QNAP’ın cihazlarına erişim izni veren iki saldırı durumunu ele aldı. Birincisi cihazın yazılımı, ikincisi ise önceden yüklenmiş olarak gelen ve eski sürüm barındıran PhotoStation uygulaması. Uzmanlar ayrıca AgeLocker’dan etkilenen sistemlerin çoğunlukla macOS ve Linux cihazları olduğunu belirtti. 

      Şirket son versiyon güncellemesinin mutlaka yapılmasını belirtti.


      Dijital Savaşta Sular Durulmuyor


      ABD’de yaklaşan seçimler öncesi Microsoft tarafından yapılan açıklama uluslararası gerginliğe sebep oldu.

      Microsoft yayınladığı bir yazıda Çin, Rusya ve İran’a bağlı APT gruplarının ABD seçimlerini hedef alan siber saldırılar gerçekleştirdiklerinin tespit edildiğini açıkladı.

      Çin’e bağlı APT grubu olan Zirconium’un Mart ayından Eylül ayına kadar Trump ve Biden için çalışan yakın kişileri, İran’a bağlı APT grubu Phosphorus’un Mayıs ve Haziran aylarında Trump’ın kampanyalarında yer alan idari yetkililerin kişisel ve iş hesaplarına, Rus APT grubu APT28’in, ABD ve Avrupa’daki siyasi ve politik düşünce grupları, ulusal ve devlet kuruluşları, siyasi partiler gibi 200’den fazla örgütü etkileyen saldırı kampanyası düzenledi.

      Rusya, Microsoft tarafından yapılan açıklamanın paranoyakça ve gerçekleri yansıtmadığını  belirtti. Uzmanlar ise ABD karşısında bu yılki seçimlerde en büyük tehditin Çin olduğunu belirtiyor.


      Kripto Para Borsasında Soygun


      Singapur merkezli kripto para borsası KuCoin 26 Eylül’de yaptığı açıklamada KuCoin’in sıcak cüzdanlarından 281 milyon Dolar değerinde kripto para ve  ERC 20 token çalındığını açıkladı.

      Şirlet CEO’su Johnny Lyu, saldırıdan etkilenen kullanıcıların zararlarının sigorta fonundan karşılanacağını belirtti. 

      KuCoin yetkilileri, saldırı ile ilgili geriye dönük araştırma yapıp saldırganların izini sürerek buldukları ip uçlarını kolluk kuvvetleri ile paylaştı. 

      Yapılan incelemelerin ardından 5 farklı borsada satış yapan saldırganlar 17.1 milyon dolarlık token satarak ETH elde ettiği de tespit edildi. 

      KuCoin’e yapılan bu saldırı, Coincheck ve Mt. Gox’tan sonra  en büyük kripto hack vakası olarak kayıtlara geçti.




      Kısa bir süredir aktif olmayan son zamanların popüler zararlısı Emotet tekrar görüldü. Fransa, Japonya ve Yeni Zelanda’nın ardından İtalya ve Hollanda’dan da Emotet ile ilgili uyarılar yükseldi. Mail yolu ile yayılan zararlıya karşı Microsoft açıklama yaparak, zararlı yazılımla ilgili bilgilendirmelerde bulundu.

      22 Ağustos’ta FBI tarafından fidye yazılımı çetesi üyesi olmaktan dolayı tutuklanan Egor Igorevich Kriuchkov isimli Rus vatandaşın hedefinde Tesla olduğu ve içeriye zararlı yazılım yerleştirmek için bir çalışana teklifte bulunduğu tespit edildi.

      2020'nin ilk yarısında petrol gaz ve bina otomasyonu sistemlerine yapılan saldırılar geçen senenin aynı dönemine göre artış gösterdi. Siber saldırganlar bu sektörlere hedefli saldırı düzenliyor.

      Dünya Ekonomik Forumu (WEF)’nun her sene yayınladığı “Global Risks Report 2020” raporunda "siber saldır" riski üst sıralarda yer aldı. Rapora göre dünyada her 39 saniyede bir hack olayı yaşanıyor.

      Android telefonları hedef alan bankacılık zararlılarından birisi Türkiye'de görüldü. SMS ile yayılan zararlı 1000 TL Pandemi Desteği Kampanyası başlığı ile geliyor. Yönlendirilen internet sayfasından içinde bankacılık zararlısı bulunduran uygulamanın telefona indirilmesi zararlı yazılım telefona bulaşıyor.

      29 Nisan 2018

      Siber Güvenlik Bülteni - Nisan 2018

      WannaCry Geri Döndü!

      Geçtiğimiz sene dünyanın bir çok noktasında büyük zararlar veren WannaCry geri döndü. Avustralya’da 55 trafik kamerasını devre dışı bırakan ve ve Redflex tarafından yönetilen hız kameralarını bozduğu tespit edilen WannaCry Asya’da da etkilerini gösterdi.

      Geçen sene, günde ortalama 1000 araç üretilen Honda’nın Japonya’daki Sayama tesislerini etkileyerek üretimin durdurulmasına sebep olan WannaCry, sadece Sayama tesislerinin değil bu sene sistemlerinde güncelleme yapmak isteyen Kuzey Amerika, Çin, İngiltere, Fransa, Hindistan ve Avrupa bölgelerindeki fabrikalarının da saldırından etkilendiği duyurdu.
      Sayama’da yer alan fabrikalar içerisinden etkilenen sadece Honda’nın üretim tesisiymiş gibi gözükse de Renault ve Nissan’ın da geçtiğimiz ay WannaCry’dan aynı şekilde etkilendiği öğrenildi.

      1.5 Milyar Hassas Dosya İnternette!

      Güvenlik araştırmacıları açık kaynak kodlu bir internet sitesinde tıbbi taramalardan patent uygulamarına, kadar 1.5 milyar civarında çevrimiçi dosyanın görünür halde olduğunu belirtti.  
      Açıkta kalan verilerin büyük çoğunluğunu kredi kartı, bordo ve vergi iadesi dosyalarının oluşturduğu belgelerde 2.2 milyon vücut taramasının da incelemeye açık olduğu gözlendi.
      Verilerin yaklaşık %7’si yanlış yapılandırılmış Amazon bulut servisi işlem depolama alanında yer alıyor. 
      Sorunlu dosyalardan en çok etkilenen ülke, %23 ile Amerika oldu. 
      Korumasız olarak internette bulunan bu dosyalar, Panama Papers belgelerinden 4bin kat daha büyük ve 12 petabayt boyutunda.

      20 Milyon Kullanıcı, Tehlike Altında!

      Google Chrome için geliştirilen ve içinde zararlı yazılım barındıran 5 adet sahte eklenti, 20 milyon kişi tarafından indirildikten sonra Google tarafından kaldırıldı.
      Google, AdRemover for Google Chrome, uBlock Plus, Adblock Pro, HD for YouTube, Webutation isimli uygulamaları mağazasından kaldırarak zararlı eklentinin daha fazla kişiye yayılmasını engelledi.
      AdRemover for Google Chrome eklentisi 10 milyondan fazla kişi tarafından indirildi.


      Fidye Virüsü, Ukrayna Enerji Bakanlığı'nı Vurdu!

      Ukrayna, siber saldırılardan etkilenmeye devam ediyor. Geçtiğimiz senelerde de siber saldırıların hedefinde olan Ukrayna Enerji Bakanlığı’nı, bu sefer de websitesinin hacklendiğini açıkladı.
      Ukrayna Enerji Bakanlığı’nın sitesini hackleyen hacker’lar 0.1 bitcoin talep ettiler. Saldırıda diğer hükümet sistemlerinin veya ülkenin devlet enerji şirketlerini etkilemediği açıklandı.

      Fidye Virüsleri Kılık Değiştiriyor!

      2016 yılında adından sıkça bahsettiren, 2017 yılında WannaCry ve NotPetya saldırıları ile hafızalarımıza kazınan fidye virüsleri saldırıları bulunduğumuz yıl içerisinde sessizliğini korurken uzmanlar, hacker’ların yeni saldırılar üzerinde çalıştıklarını belirtti.
      Indiana’da bir hastanenin ve Atlanta’da devlete ait birçok bilgisayar sisteminin SamSam saldırısından etkilenmesi, WannaCry’ın hala etkilerinin gözükmesi bazı fidye yazılımı ailelerinin sürekli kullanılacağını ve geliştirileceğini gösteriyor.
      Kripto para madenciliğindeki yükseliş, fidye virüsü saldırılarının önüne geçse de kurumlara yönelik yapılan fidye virüsü saldırılarında artış söz konusu.


      Hacker’lar Otel Odamızda!

      Tomi Tuominen ve Timo Hirvonen isimli iki hacker İsveç’li kilit üreticisi Assa Abloy’un geliştirdiği ve 166 ülkede 42.000’den fazla tesiste kullanılan kilit sistemini “master key” ismini verdikleri anahtar ile açmayı başardılar. 
      Hacker’lar özel bir yazılıma sahip mini bilgisayarla kablosuz radyo frekansının tanımlanıp manyetik karttan veri çalabildiklerini açıkladı.
      Geçtiğimiz sene benzer bir olay Avustralya'da yaşanmış ve 4 yıldızlı Romantik Seehotel Jäegerwirt adındaki otelin sistemi hackerlarca ele geçirilmişti. Bilgi işlemdeki bir bilgisayara fidye virüsü bulaştıran bilgisayar korsanları, müşterilerin odalarında kilitli kalmasına neden olmuştu. 

      Outlook’taki Açık, Bilgisayarınızın Ele Geçirilmesi İçin Yeterli!

      CERT Koordinasyon Merkezi’nden Will Dorman RTF‘li (Zengin Metin Formatı) e-posta açıldığında OLE sayesinde SMB bağlantısını otomatik olarak başlatan bir güvenlik açığı tespit etti.
      Saldırgan, kendisinin oluşturduğu bir SMB sunucusu üzerinden yükleme yapan, içerisinde OLE bağlantısı yer alan RTF dosyasını e-posta olarak kurbana gönderdiğinde bu güvenlik açığından yararlanabiliyor.
      Cert koordinasyon Merkezi “ Bu saldırı, kullanıcının IP adresini, alan adını, kullanıcı adını, ana makine adını ve parola hash’ini sızdırıyor olabilir. Kullanıcının parolası yeterince karmaşık değil ise saldırgan kullanıcı parolasını kısa sürede çözülebilir.” açıklamasını yaptı.
      • Henüz yapmadıysanız CVE-2018-0950 Microsoft güncellemesinin yapınız. 
      • Gelen ve giden SMB için kullanılan portları (445/tcp, 137/tcp, 139/tcp, 137/udp ve 139/udp) engelleyin.
      • NTLM Single Sign-on kimlik doğrulamasını engelleyin.
      • Karmaşık parolaları kullanın. Böylece parola hash’leriniz çalınsa bile kolayca kırılamazlar.

      Android Cihazlar Monero Madenciliğinde Kullanılıyor!

      Android Nougat ve sonraki sürümler dışındaki işletim sistemlerindeki bir açıktan yararlanan kötü amaçlı bir yazılım, Android işletim sistemli akıllı cihazların CPU’larını Monero madenciliği için kullanıyor.
      Zararlı yazılım, cihaz yöneticisi özelliğinin kaldırılmasını önlemek için, kullanıcı bu işlemi yapmak istediğinde cihazın ekranını kilitleyerek parola soruyor.
      Daha önce cihazların bataryalarını patlatan Loapi Monero’ya benzetilen zararlı yazılım Hindistan ve Çin’de birçok kullanıcıyı etkilemiş durumda. Bugüne kadar HiddenMiner yazılımı ile birlikte 5.360 Dolarlık  bitcoin üretildi.


      Android Remote Trojan

      Android işletim sistemindeki bir güvenlik açığından yararlanan kötü amaçlı bir yazılım ile birçok bilgi çalınabilir hale geldi.
      Sisteme sızmak için gömülü bir Microsoft denklem nesnesini kullanarak, Office’teki CVE-2017-11882 güvenlik açığından yararlanmaya çalışan RTF dosyası, bitcoin ve Çin hakkında bilgi veren Korece azılmış bir belgeden oluşuyor.
      KevDroid ismi verilen bu zararlının ilk versiyonu yüklü uygulamalar, telefon numarası, telefonun benzersiz kimliği, konum, kayıtlı rehber bilgileri, depolanmış SMS, arama kayıtları, kayıtlı e-postalar ve fotoğraflar gibi bilgileri toplayabiliyor.
      Uzmanlar, büyük bir KevDroid saldırısının siber casusluğa yol açabileceğini söylüyorlar.
      İsrail’in Ben Gurion Üniversitesi’nde yer alan araştırmacılar geçtiğimiz senelerde bir bilgisayardan ışık, ses, ısı, elektromanyetik, manyetik ve ultrasonik dalgalar yoluyla veri çalmak için çeşitli bant dışı iletişim yöntemlerini denemişti. Geçtiğimiz hafta ise akım hattındaki dalgalanmaları kullanarak bilgisayarların CPU kullanımını kontrol etmeyi başardıklarını açıkladılar.
       

      Son Zamanarda En Çok Görülen 5 Popüler Zararlı

      CryptoLoot: Kurbanlarının CPU ve GPU gücünü kripto para madenciliği için kullanan, kullanıcı bilgisi olmadan bilgisayarlara yüklenen zararlı yazılım.

      RoughTed: Kötü amaçlı web siteleri, adware, exploit kitleri ve fidye yazılımları dağıtmak ve işletim sistemine saldırmak için kullanılır.

      Fireball: Kullanıcıların kimlik bilgilerini çalmaktan, cihazlarına başka zararlı yazılım indirmeye ve arama motorlarını sahte arama motorlarına dönüştürerek web trafiğini kontrol edip reklam geliri elde etmek için manipüle eden zararlı yazılım.

      LokiBot: Özellikle popüler bankacılık uygulamalarının arayüzlerini kopyalayarak kullanıcıların bilgilerini çalan, fark edilip yönetici izinleri kaldırıldığında fidye virüsüne dönüşerek mobil cihazı şifreleyip fidye talep eden Android işletim sistemli cihazlarda gözüken zararlı.

      Triada: Android işletim sisteminde yer alan, root haklarını kullanarak, sistem dosyalarıyla yer değiştiren modüler bir Trojandır. Genellikle cihazın RAM’inde bulunur ve önce sistem hakkında bilgi toplar. En büyük özelliği ise SMS’leri kontrol ederek gelenleri filtreleyebilmesi.

      Popüler Yayınlar