cisco etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
cisco etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

06 Temmuz 2022

Siber Güvenlik Bülteni - Haziran 2022

 

Bültenimizin Haziran ayına ait başlıkları; 
    • Fidye Yazılım Grupları Taktik Değiştiriyor
    • VPN Servisleri Dert Açmaya Devam Ediyor
    • 900.000 Kubernetes Kümesi Açığa Çıktı
    • QNAP NAS Cihazları Tekrar Hedef Oldu
    • Tedarikçi Saldırıları Artıyor

    Fidye Yazılım Grupları Taktik Değiştiriyor

    Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


    Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

    ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

    Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

    VPN Servisleri Dert Açmaya Devam Ediyor

    Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

    Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

    Yapılan araştırmalara göre;
    • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
    • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
    • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
    • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
    • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

    900.000 Kubernetes Kümesi Açığa Çıktı

    Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

    Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

    Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

    Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

    QNAP NAS Cihazları Tekrar Hedef Oldu

    Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

    QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

    NAS'ınızı saldırılara karşı koruma yöntemleri;
     

    • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
    • Hesaplarınız için güçlü bir parola oluşturmalısınız.
    • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
    • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
    • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

    Tedarikçi Saldırıları Artıyor

    Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

    Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

    TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

    Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

    Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

    Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

    Siber Saldırılara Karşı
    TINA Çözümlerimiz

    Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

    01 Mart 2021

    Siber Güvenlik Bülteni - Şubat 2021

     

    Cisco'da Kritik Zafiyet

     

    Cisco'nun siteler arası politika yönetici yazılımında kritik bir güvenlik açığı tespit edildi. Güvenlik açığı uzaktaki bir kullanıcının kimlik doğrulatmayı atlatabilmesine olanak sağlamaktadır. Güvenlik açığı, Cisco ACI Multi-Site Orchestrator (MSO)'da tespit edilmiştir.

    Güvenlik açığı (CVE-2021-1388), CVSS güvenlik açığı derecelendirmesinde 10 üzerinden 10 almıştır. Ayrıca zafiyet ACI MSO 3.0 sürümlerini etkilemektedir. Cisco'dan yapılan açıklamada henüz tespit edilen bir istismar kodundan veya kötüye kullanımından haberdar olunmadığı söylendi. Ürün kullanıcılarının zafiyeti engellemek amaçlı Cisco ACI MSO 3.0(3m) sürümüne güncellemeleri gerekmektedir. Ek olarak güvenlik açığı ve öneriler hakkında Cisco güvenlik danışma sayfasını buradan ziyaret edebilirsiniz.

    Kargo Firması Oltalama Saldırısı

    Her geçen gün oltalama saldırıları farklı bir plan ile hayatımızda yer almaya devam ediyor. Bu seferki saldırıda yaklaşık 10.000 kişi hedeflenmiş ve oltalama saldırı kurgusu DHL Express, FedEx gibi kargo şirketleri taklit edilerek gönderilmiş. Pandemiyi düşününce kargo firmalarını taklit etmeleri gayet zekice bir planlama olduğunu söyleyebiliriz. Saldırının amacı; kullanıcıların kurumsal e postalarını ele geçirmek.

    Gönderilen e-posta içerisinde yönlendirme amaçlı linkler bulunmaktadır,​bu linklerin eposta filtrelerine takılmadan ulaşabilmesi için, kimlik avı sayfalarının Quip ve Google Firebase güvenli adresleri üzerinde barındırıldığı tespit edilmiştir. Bu şekilde kötü niyetli sayfaların ve formların, eposta güvenlik servislerini Bypass etmesi sağlanmıştır.

    Senaryo şu şekilde planlanmıştır, kullanıcı gelen maile tıkladığında link onu Quip üzerinde bulunan sahte FedEx belgeleri sergileyerek, detaylarının görülmesi için kurbanı detay sayfasına yönlendirmektedir. Kurban buraya tıkladıktan sonra ise Google Firebase üzerinde kurgulanan sahte Microsoft giriş ekranına yönlendirerek kurbanların kullanıcı bilgilerini ele geçirmektedir. Quip ve Google Firebase ücretsiz versiyonları, saldırganların işini kolay ve hızlıca yapmasına olanak sağlamaktadır.

    3.2 Milyar Kullanıcı Adı ve Parola

    Popüler bir hacking formunda benzersiz ve açık metin olarak derlenmiş 3,2 milyardan fazla kullanıcı adı ve parola ile birlikte giriş bilgisi yayınlandı. Bu bilgilerin daha önceki sızıntılardan elde edilen, Linkedin, Netflix, Bitcoin gibi hesap bilgilerinden derlendiği düşünülüyor.

    Bu ihlal dosyasının adı COMB "Compilation of Many Breaches” (Birçok İhlalin Derlenmesi) olarak yayınlanmış ve parola korumalı bir arşiv dosyası olarak paylaşılmıştır. Yapılan incelemelerde uzmanlar, yeni bir ihlal içermediğini ve çoğunluğunun önceki yıllardan gelen ihlallerin bir noktada toplandığını iddia etti. Ayrıca uzmanlar yapılan incelemelerde birçok kullanıcı adı ve parolanın hâlâ geçerli olduğunu ve kullanılabilir olduğunu belirtti. Bunun yanında ihlalin sadece bir liste değil, etkileşimli veri tabanı olması hackerler istediği kullanıcı adı ve parolaya hızlıca ulaşmasına olanak sağlamakta ve riski bir adım ileriye taşımaktadır.

    VMware Kritik Zafiyet

    Zafiyet (CVE-2021-21972) vCenter, vSphere üzerinde kod çalıştırmaya olanak sağlamaktadır. Vmware sunucularda kritik zafiyet yama yayınlanması akabinde istismar kodu yayınlandı ve birçok saldırgan dünyadaki zafiyetli sistemleri taramaya başladı. Yaklaşık 6,700 VMware sunucusu hali hazırda yamalanmamış ve saldırıya açık durumdadır.

    VMware bu zafiyeti 10 üzerinden 9.8 olarak değerlendirdi ve acilen yama yapılmasını önerdi, yamaya buradan ulaşabilirsiniz.

    Geçtiğimiz yıllardaki zafiyetlerin fidye saldırılarında kullanıldığına şahit olmuştuk, bu yüzden bu zafiyetinde yeni fidye saldırılarında aktif olarak kullanılacağını öngörmekteyiz, hızlıca yama yapmanızı öneririz.

    Saldırından şirket içi veya üretim ortamından herhangi bir kısmın etkilendiğine daire kanıtın olmadığı, ürünlerin kullanımında bir güvenlik problemi olmadığı söylendi.

    ThreatNeedle, Saldırılarında Savunma Sanayini Hedef Alıyor

    Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

    Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word ekinin açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapısı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

    ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. İncelenen ThreatNeedle, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerliklerini tespit etti. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

    Bu saldırıdan son belirlemelere göre 12 ye yakın ülkede birçok kuruluş saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1,3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

    Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word'ün açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

    ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. ​İncelemelerde ThreatNeedle'ın, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerlikleri tespit edildi. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

    ​Son belirlemelere göre 12'ye yakın ülkede birçok kuruluş bu saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1.3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Lazarus Grubu da 2020 başlarından itibaren savunma sanayine odaklandı.

    Apple M1 "Silver Sparrow" Zararlı Yazılım

    Uzun yıllardır saldırı kullanım yoğunluğunun az olmasından dolayı saldırı gerçekleşmeyen Apple, kullanımı arttığı her geçen gün farklı saldırılara maruz kalmaya devam ediyor. Geçtiğimiz aylarda kendi işlemci yapısı olan M1 işlemcileri duyuran Apple, geçtiğimiz hafta siber saldırıya maruz kaldı. Tespit edilen ilk zararlı yazılımdan günler sonra ikinci zararlı yazılım ile alakalı da tespitler gerçekleşti.

    Zararlı yazılım "Silver Sparrow" olarak adlandırıldı ve yaklaşık 30,000 Mac cihazında olduğu düşünülüyor. Ayrıca zararlı yazılım hem M1 işlemcili hem de Intel x86_64 cihazlarında çalışıyor. ABD, İngiltere, Fransa, Kanada ve Almanya yoğun olmak üzere 153 ülkede tespit edildi.

    Florida Su Şebekesi Siber Saldırı

    ABD'nin Florida eyaletinde su şebekelerine siber saldırı gerçekleşti. Sisteme sızan siber korsanlar sudaki soydum hidroksit oranını artırarak halkı zehirlemeyi planladı. Saldırı gerçekleşirken seviyelerin değiştiğini fark eden bir operatör tarafından kimseye zarar gelmeden engellendi.

    Yapılan incelemede saldırının su tesisi üzerindeki SCADA sistemlerini incelemek, kontrol etmek ve gerekli düzenlemeleri yapmak için kullanılan TeamViewer üzerinden gerçekleştiği tespit edildi. Ayrıca sistemde Windows 7 32 bit bir sistem üzerine kurulu bir yapının olduğu, hepsinde aynı parolanın kullanıldığı ve herhangi bir güvenlik önlemi kurgulanmadığı ortaya çıktı.

    Erişim bilgilerinin ise nasıl bulunduğu hâlâ araştırılıyor fakat 2017 yılında yayınlanan büyük bir ihlal veri tabanı üzerinde kurum ve çalışanlarına ait birçok parola tespit edildi ve bu parolaların hâlâ geçerli olduğu gözlemlendi. Bu yüzden yapılan saldırı, muhtemelen daha önceden ele geçirilmiş parolalar ile rahat bir şekilde gerçekleşti.

    Popüler Yayınlar