Siber Güvenlik Bülteni - Şubat 2024

 

Bültenimizin Şubat Ayı konu başlıkları;  Fortinet Kritik Zafiyetler QNAP Sıfırıncı Gün Zafiyeti AnyDesk Hacklendi Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

Fortinet Kritik Zafiyetler

Fortinet, FortiOS ve FortiSIEM zafiyetleri için uyardı. Fortinet, FortiSIEM'de bulunan ve uzaktan saldırganların keyfi kod çalıştırmasına izin verebilecek iki kritik işletim sistemi komut enjeksiyonu açığına dikkat çekiyor. Fortinet'in yayınladığı bir bildirime göre, CVE-2024-23108 ve CVE-2024-23109 (CVSS puanı 10) olarak izlenen bu iki kritik açık, uzaktan kod yürütme riski taşıyor. Etkilenen ürünler; FortiSIEM sürüm 7.1.0 ile 7.1.1 arası FortiSIEM sürüm 7.0.0 ile 7.0.2 arası FortiSIEM sürüm 6.7.0 ile 6.7.8 arası FortiSIEM sürüm 6.6.0 ile 6.6.3 arası FortiSIEM sürüm 6.5.0 ile 6.5.2 arası FortiSIEM sürüm 6.4.0 ile 6.4.2 arası Düzeltilmiş Sürümler; FortiSIEM sürüm 7.1.3 veya üstü FortiSIEM sürüm 7.0.3 veya üstü FortiSIEM sürüm 6.7.9 veya üstü Gelecek FortiSIEM sürüm 7.2.0 veya üstü Gelecek FortiSIEM sürüm 6.6.5 veya üstü Gelecek FortiSIEM sürüm 6.5.3 veya üstü Gelecek FortiSIEM sürüm 6.4.4 veya üstü Söz konusu açıkların istismar edilmesi durumunda, uzaktan kimlik doğrulama gerektirmeyen bir saldırganın sistemde komut çalıştırmasına izin verilebilir. Mümkün olan en kısa sürede güncelleme yapılması önerilir. İki sorun, Ekim 2023'te ele alınan CVE-2023-34992 (CVSS puanı 9.8) adlı bir güvenlik açığı ile ilişkilendirilmiştir. CVE-2023-34992 açığı, Fortinet FortiSIEM sürüm 7.0.0 ve 6.7.0 ile 6.7.5 arası ve 6.6.0 ile 6.6.3 arası ve 6.5.0 ile 6.5.1 arası ve 6.4.0 ile 6.4.2 arası sürümlerinde bulunan bir işletim sistemi komut enjeksiyonu (‘os komut enjeksiyonu’) hatasıdır. Saldırgan, bu hatayı kullanarak özel olarak oluşturulan API istekleri aracılığıyla yetkisiz kod veya komutları yürütebilir. Fortinet, FortiOS SSL VPN'de yeni bir kritik uzaktan kod yürütme açığının saldırılarda potansiyel olarak kullanıldığı konusunda uyarıyor. Bu açık CVE-2024-21762 9.6 ciddiyet derecesine sahiptir ve FortiOS'ta bir sınır dışı yazma güvenlik açığıdır. Bu açık, kimlik doğrulaması yapılmamış saldırganların kötü niyetli olarak oluşturulmuş istekler aracılığıyla uzaktan kod yürütmesine (RCE) izin verir. Bu hatayı düzeltmek için, Fortinet en son sürümlerden birine yükseltmeyi önermektedir: Etkilenen ürünler;: FortiOS sürüm 7.4.0 ile 7.4.2 arası FortiOS sürüm 7.2.0 ile 7.2.6 arası FortiOS sürüm 7.0.0 ile 7.0.13 arası FortiOS sürüm 6.4.0 ile 6.4.14 arası FortiOS sürüm 6.2.0 ile 6.2.15 arası FortiOS sürüm 6.0 tüm sürümler Düzeltilmiş Sürümler; FortiOS sürüm 7.4.3 veya üstü FortiOS sürüm 7.2.7 veya üstü FortiOS sürüm 7.0.14 veya üstü FortiOS sürüm 6.4.15 veya üstü FortiOS sürüm 6.2.16 veya üstü Güncellemeleri uygulayamayanlar için, Fortinet, FortiOS cihazlarınızda SSL VPN'yi devre dışı bırakarak bu hatayı hafifletebileceğinizi belirtiyor. Fortinet'in bildirimi, açığın nasıl istismar edildiği veya açığı kimin keşfettiği konusunda herhangi bir ayrıntı sağlamıyor. Bu güvenlik açığı, bugün CVE-2024-23113 (Kritik/9.8 derecelendirme), CVE-2023-44487 (Orta), ve CVE-2023-47537 (Orta) ile birlikte duyuruldu. Ancak, bu hataların henüz sahada istismar edilmediği belirtiliyor. Siber tehdit aktörleri genellikle Fortinet hatalarını hedef alarak kurumsal ağlara sızıyor ve fidye yazılımı saldırıları ve siber casusluk faaliyetleri gerçekleştiriyor. Dün, Fortinet, Çin devlet destekli tehdit aktörlerinin FortiOS açıklarını hedef alarak COATHANGER olarak bilinen özel kötü amaçlı yazılımı dağıtmak için saldırılarını gerçekleştirdiğini açıkladı. Bu kötü amaçlı yazılım, Fortigate ağ güvenlik cihazlarını enfekte etmek için tasarlanmış özel bir uzaktan erişim truva atı (RAT) ve son zamanlarda Hollanda Savunma Bakanlığı'na yönelik saldırılarda kullanıldığı tespit edildi. Yeni açıklanan CVE-2024-21762 hatasının yüksek ciddiyeti ve saldırılarda kullanılma olasılığı göz önüne alındığında, cihazlarınızı mümkün olan en kısa sürede güncellemeniz kesinlikle önerilir. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

QNAP Sıfırıncı Gün Zafiyeti

Geçen hafta, QNAP, QTS, QuTS hero ve QuTScloud ürünlerindeki çeşitli güvenlik açıklarının düzeltildiği bir güvenlik bülteni yayınladı. Bu açıklar, CVE-2023-47218 ve CVE-2023-50358 olarak atandı. Bu açıkların ciddiyeti 5.8 (Orta) olarak belirtildi. Ancak, toplamda 289.665 savunmasız cihazın, tehdit aktörleri tarafından potansiyel olarak istismar edilebilir olduğu keşfedildi. Bu cihazlar çoğunlukla Almanya, ABD, Çin, İtalya, Japonya, Tayvan, Fransa ve birkaç diğer ülkede bulunuyordu. QNAP 0-Gün açığı kimlik doğrulaması gerektirmeyen QNAP QTS firmware'inin quick.cgi bileşeninde bulunan bir komut enjeksiyonu ile ilişkilendirilmiştir. quick.cgi istek işleyicisi, HTTP parametresi todo=set_timeinfo ayarlandığında, SPECIFIC_SERVER parametresinin değerini /tmp/quick/quick_tmp.conf adlı yapılandırma dosyasına NTP Adresi adı altında kaydeder. Bunun ardından, quick.cgi bileşeni, komut satırı yürütmesinin gerçekleştiği ntpdate yardımcı programı ile zaman senkronizasyonunu başlatır. Bu yardımcı program, quick_tmp.conf dosyasındaki NTP Adresini okur ve sonra system() kullanılarak yürütülür. Bu, güvensiz bir girişin SPECIFIC_SERVER parametresine sağlanması durumunda, girişin system() aracılığıyla geçirilerek ve yürütülerek, savunmasız cihazda keyfi bir komutun yürütülmesiyle sonuçlanır. Korunma Yöntemi Bu zafiyetin önlenmesi için, kullanıcılar aşağıdaki adımları izleyebilir: Tarayıcıda şu URL'yi test edin: https://<NAS IP adresi>:<NAS sistem portu>/cgi-bin/quick/quick.cgi Eğer HTTP 404 Hatası alıyorsanız, cihaz savunmasız değildir. Eğer "Sayfa Bulunamadı" veya "Web sunucusu şu anda kullanılabilir değil" mesajını alıyorsanız, cihazda zafiyet olma olasılığı vardır. Eğer HTTP 200 yanıtı ile boş bir sayfa alıyorsanız, aşağıdaki adımlar önerilir: İşletim sistemini aşağıdaki sürümlerden birine veya daha yeni bir sürüme güncelleyin: QTS 5.0.0.1986 sürümü 20220324 veya daha sonrası QTS 4.5.4.2012 sürümü 20220419 veya daha sonrası QuTS h5.0.0.1986 sürümü 20220324 veya daha sonrası QuTS h4.5.4.1991 sürümü 20220330 veya daha sonrası Tarayıcıda aynı URL'yi yeniden test edin. Eğer sonuç HTTP 404 hatası ise, cihaz güvende demektir. Eğer HTTP 200 yanıtı hala devam ediyorsa, QNAP teknik desteği ile iletişime geçilmesi tavsiye edilir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

AnyDesk Hacklendi

AnyDesk, uzak masaüstü erişim yazılımı geliştirici Alman şirketi, üretim sistemlerinin bir siber saldırıya maruz kaldığını ve bu saldırının şirketin üretim sistemlerini etkilediğini duyurdu. Şirket, bir güvenlik denetimi sonrasında keşfedilen bu olayın bir fidye yazılımı saldırısı olmadığını belirtti ve ilgili makamlara bildirimde bulunduğunu açıkladı. Şirket "Tüm güvenlikle ilgili sertifikaları iptal ettik ve gerekli durumlarda sistemleri düzelttik veya değiştirdik," açıklamasında bulundu. Tedbir amaçlı olarak, AnyDesk tüm web portalı, my.anydesk[.]com, şifrelerini iptal etti ve kullanıcıların, aynı şifreleri başka çevrimiçi hizmetlerde kullanmışlarsa şifrelerini değiştirmelerini tavsiye etti. Ayrıca, kullanıcıların en son yazılım sürümünü indirmelerini önerdi ve bu sürüm yeni bir kod imzalama sertifikasıyla birlikte geliyor. AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı. Şu anda, hacklemenin ardından herhangi bir bilginin çalınıp çalınmadığı bilinmiyor. Ancak, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt olmadığını vurguladı. AnyDesk, Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales dahil olmak üzere 170.000'den fazla müşteriye sahip olduğunu iddia ediyor. AnyDesk müşteri bilgileri bazı platformlarda satılmaya başlandı ve tehdit aktörünün 18.317 hesabı 15.000 dolarlık kripto para birimi karşılığında satışa çıkardığını ve bir anlaşmayı siber suç forumunda kabul ettiğini söyledi. Özellikle, aktör tarafından paylaşılan ekran görüntülerindeki zaman damgaları, 3 Şubat 2024 tarihli başarılı izinsiz erişimi göstermektedir ve müşterilerin tümünün erişim kimlik bilgilerini değiştirmemiş olabileceği veya etkilenen tarafların bu mekanizmanın hala devam ediyor olabileceğini de unutmamak gerekiyor. AnyDesk, siber saldırı sonrası tüm araç sürümlerinin güvenli olduğunu ve müşterilere sürüm 7.0.15 ve 8.0.8'i indirmelerini önerdiğini belirtti. Şirketin yayınladığı ayrı bir SSS bölümüne göre, olayın Ocak 2024'ün ortalarında meydana geldiği ve şirketin bu olayı takiben bir güvenlik denetimi yaptığı, sonuç olarak üretim sistemlerinin tehlikede olduğuna dair kanıtlar bulduğu ifade edildi. Ayrıca, kaynak koduna herhangi bir kötü niyetli değişiklik yapıldığını veya müşterilere herhangi bir AnyDesk sistemi aracılığıyla kötü amaçlı kod dağıtıldığını görmediklerini vurguladı. AnyDesk, kullanıcı kimlik bilgilerinin karanlık web üzerinde satılmasına dair raporların doğrudan olayla ilgili olmadığını zararlı yazılımlarla enfekte olmuş kullanıcı bilgileri olabileceğini belirtti.

Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

Mercedes-Benz'in iç GitHub Enterprise Servisi'ne sınırsız erişim sağlayan bir GitHub belirteci yanlış yönetildi ve şirketin kaynak kodunu kamuya açık hale getirdi. Mercedes-Benz, yenilik, lüks tasarımlar ve üstün yapı kalitesi ile tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir. Marka, güvenlik ve kontrol sistemleri, bilgi eğlence, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik, elektrikli güç ve batarya yönetimi (Evler için) gibi araçlarında ve hizmetlerinde yazılım kullanmaktadır. 2023 yılının 29 Eylül'ünde araştırmacılar, bir Mercedes çalışanına ait kamuya açık bir depoda bulunan bir GitHub belirtecini keşfetti ve bu belirtecin şirketin iç GitHub Enterprise Sunucusuna erişim sağladığını belirtti. Bu olay hassas depoların ortaya çıkmasına ve bu depolarda veritabanı bağlantı dizeleri, bulut erişim anahtarları, şematikler, tasarım belgeleri, SSO parolaları, API anahtarları ve diğer kritik iç bilgilerin bulunması nedeniyle ciddi sonuçlara yol açtı. Araştırmacıların açıkladıkları gibi, bu verilerin kamuoyuna açık hale gelmesinin sonuçları ciddi olabilir. Kaynak kodu sızıntıları, rakiplerin tescilli teknolojileri tersine mühendislik yapmasına veya hackerların araç sistemlerinde potansiyel zayıflıkları aramasına neden olabilir. Ayrıca, API anahtarlarının ortaya çıkması, yetkisiz veri erişimi, hizmet kesintileri ve şirket altyapısının kötü amaçlar için kötüye kullanılmasıyla sonuçlanabilir. Araştırmacılar, Mercedes-Benz'e belirteç sızıntısını 22 Ocak 2024'te bildirdi ve iki gün sonra bunu iptal etti, bu da bu belirtece sahip olan ve kötüye kullanan kişilere erişimi engelledi. Bu olay, Japon otomobil üreticisi Toyota'nın Ekim 2022'de yaşadığı bir güvenlik hatasına benziyor. Toyota, bir GitHub erişim anahtarının açığa çıkmasından dolayı kişisel müşteri bilgilerinin beş yıl boyunca kamuya açık kalmasını açıklamıştı. Bu tür olaylar, GitHub Enterprise örneklerinin sahiplerinin genellikle IP adreslerini içeren denetim günlüklerini etkinleştirmeleri durumunda, kötü amaçlı kullanım kanıtlarını oluşturur. Mercedes-Benz'in konuya ilişkin açıklaması;  "Bir insan hatası nedeniyle, iç erişim belirteci içeren bir kaynak kodu kamuya açık bir GitHub deposunda yayınlandı. Bu belirteç, belirli sayıda depoya erişim sağladı, ancak İç GitHub Enterprise Sunucusunda barındırılan tüm kaynak koda erişim sağlamadı. İlgili belirteci iptal ettik ve hemen kamuya açık depoyu kaldırdık. Müşteri verileri etkilenmediğinden güncel analizimiz gösteriyor. Bu durumu normal süreçlerimize göre analiz etmeye devam edeceğiz."

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Haziran 2023

 

Bültenimizin Haziran Ayı konu başlıkları;  Barracuda'da Sıfırıncı Gün Zafiyeti Fortinet'te Kritik Zafiyetler RDP'ye Saldırılar Durmuyor Chrome'da Kritik Zafiyetler Asus Wifi Router için Kritik 9 Zafiyet

Barracuda'da Sıfırıncı Gün Zafiyeti

Barracuda'da tespit edilen CVE-2023-2868 referans numaralı zafiyetin Ekim 2022'den beri zararlı yazılım yayma ve veri ihlallerinde kullanıldığı tespit edildi. CVE-2023-2868 referans numarası ile takip edilen sıfırıncı gün açığı uzaktan komut çalıştırmaya imkan sağlamakta ve Email Security Gateway (ESG) cihazlarını etkilemektedir. ESG cihazlarının 5.1.3.001 ile 9.2.0.006 sürümleri etkilenmektedir. Yapılan analizlerde Barracuda cihazlarında üç farklı zararlı yazılım tespit edildi. Saltwater; Barracuda SMTP üzerinde çalışan bir modül olarak tasarlanmış ve uzaktan dosya yükleme veya indirme, komut yürütme ve proxy veya tünel oluşturma amaçlı kullanılmaktadır. Seaspy; meşru bir Barracuda hizmeti olarak görünür, trafiği izler ve arka kapı işlevi sağlar. Seaside; Barracuda SMTP servisini hedefler, reverse oluşturarak C&C (komut ve kontrol) bağlantısı sağlar. Barracuda her ne kadar zafiyet ile ilgili bir yama yayınlasa da, cihazların güncel olduğundan emin olunmasını ve güvenliği ihmal edilmiş cihazları kullanmayı bırakmalarını tavsiye etti. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

Fortinet'te Kritik Zafiyetler

Fortinet'in son yıllarda hızla artan zafiyetlerine yenileri eklenmeye devam ediyor. Yeni zafiyetlerde de kimliği doğrulanmamış kullanıcının uzaktan kod çalıştırmasına olanak sağladığı doğrulanmıştır.  FortiOS tarafında tespit edilen zafiyet,  CVE-2023-27997 referans numarası ile takip edilebilir, uzaktan kimliği doğrulanmamış bir saldırgan tarafından kod çalıştırmaya olanak sağlamaktadır. Zafiyet ile SSL-VPN ön kimlik doğrulamasında yığın bellek taşması yaratarak sisteme sızmaya imkan sağlamaktadır. Fortinet SSL VPN kullanan tüm müşterilerinin hızlıca yamaları yapmasını öneriyor, SSL VPN kullanmayan müşterilerinin ise riskinin azaldığını belirtmekte fakat onlarında yamalarını yapmalarını önermektedir. FortiNAC tarafında tespit edilen zafiyet,  CVE-2023-33299 referans numarası ile takip edilebilir, kimliği doğrulanmamış bir kullanıcının TCP 1050 hizmetine yönelik özel olarak tasarlanmış istekler ile yetkisiz kod çalıştırmasına imkan sağlamaktadır. 7.2.0'dan 9.4.2'ye kadar olanlar da dahil olmak üzere birçok FortiNAC sürümü, bu uzaktan kod yürütme güvenlik açığından etkilenmektedir. Fortinet hızlıca bu yamaların yapılmasını önermektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

RDP'ye Saldırılar Durmuyor

Uzak masaüstü bağlantıları her ne kadar kurumlar için hızlı ve kolay çözüm olarak görülse de, saldırganları çekme konusunda da adeta bir mıknatıs görevi görmektedir. Dışarı açık olan bir RDP günde ortalama 37.000'den fazla bağlantı talebi almaktadır. Bunların çoğunluğu otomatik botlar tarafından gerçekleştirilmektedir fakat doğru bir bağlantı tespitinde de direkt saldırganın manuel uğraşları devreye girmektedir. Bir araştırma grubu tarafından kurulan RDP bal küpü (honeypot) ağında 3 aylık bir dönemde yaklaşık 3.5 milyon oturum açma talebi geldi, 1 yıl içerisinde ise 13 milyondan fazla oturum açma talebi geldi. Bu saldırılarda gelen talepler ağırlıklı olarak Rusya ve Çin IPlerinden oluşmaktadır.  Gerçekleştirilen oturum açma taleplerinde kullanılan Administrator, ADMIN, ADMINISTRATOR, Admin, administrator gibi standart kullanıcı adları dışında, RDP honeypotlara verilen isimlere özgü kullanıcı adlarının da oluşturulup denendiği ortaya çıktı.  Dışarı açık olan servislerin her zaman risk içerdiğini ve servisin dışarı açıldığı an itibariyle hedef haline geldiğini net olarak görebiliyoruz, bu yüzden dışarı açık olan servisleri korumak için yeni çözümümüz TINA ISOLATOR'ü öneriyoruz, detaylı bilgi için bize ulaşabilirsiniz

Chrome'da Kritik Zafiyetler

Google, meşhur web tarayıcısı Chrome için acil yama yayınladı. CVE-2023-3079 referans kodu ile takip edilen güvenlik açığı, V8 JavaScript motorunda bir tür karışıklık hatası olarak tanımlandı. NIST'in Ulusal Güvenlik Açığı Veritabanına göre; 114.0.5735.110'dan önceki Google Chrome'daki V8'deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak yığın bozulmasından yararlanmasına izin vermektedir. Google saldırının detaylarını açıklamadı fakat hali hazırda zafiyetin kullanıldığını belirtti.  Yılbaşından bu yana Chrome üzerinde 3 farklı sıfır gün zafiyeti tespit edildi; CVE-2023-2033 V8'de Tür Karışıklığı ve CVE-2023-2136 Skia'da tamsayı taşması. Kullanıcıların olası tehditleri azaltmak için, Windows için 114.0.5735.110 ve macOS ve Linux için 114.0.5735.106 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeleri kullanıma sunulduğunda, acilen yamaları uygulamaları önerilmektedir.

Asus Wifi Router için Kritik 9 Zafiyet

Tayvanlı bilgisayar donanımı üreticisi Asus, WiFi yönlendirici ürün serilerindeki güvenlik açıklarını gidermek için acil yazılım güncellemeleri gönderdi ve kullanıcıları uzaktan kod yürütme saldırıları riskine karşı uyardı. Asus; kod yürütme, hizmet reddi, bilgi ifşası ve kimlik doğrulama baypaslarına izin veren içerisinde 2018’den beri sömürüldüğü anlaşılan 9 güvenlik açığını yamaladı. Etkilenen ürünler;   GT6/GT-AXE16000/GT-AX11000 PRO/GT-AXE11000/GT-AX6000/GT-AX11000/GS-AX5400/GS-AX3000/XT9/XT8/XT8 V2/RT-AX86U PRO/RT-AX86U/RT-AX86S/RT-AX82U/RT-AX58U/RT-AX3000/TUF-AX6000/TUF-AX5400. Ayrıca güncelleme yapmayan müşterileri içinde "olası istenmeyen izinsiz girişleri önlemek için WAN tarafından erişilebilen hizmetleri devre dışı bırakmanızı kesinlikle öneririz." açıklamasında bulundu ek olarak "Yönlendiricinizi en son üretici yazılımına güncelleyin. Yeni üretici yazılımı çıkar çıkmaz bunu yapmanızı şiddetle tavsiye ediyoruz" diyen şirket, kullanıcıların kablosuz ağ ve yönlendirici yönetim sayfaları için ayrı parolalar ayarlaması gerektiğini de sözlerine ekledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz

Siber Güvenlik Bülteni - Eylül 2021

 

Bültenimizin Eylül ayına ait başlıkları;  Sanayi Kuruluşlarının %91'i Sızılabilir Durumda Siber Saldırganlar Hızlandı Birleşmiş Milletlerde Veri Sızıntısı Fortinet VPN Bilgileri Sızdırıldı Üniversite WiFi Ağlarında Risk

Sanayi Kuruluşlarının %91'i Sızılabilir Durumda

Endüstriyel Kontrol Sistemleri her geçen gün hayatımızdaki kullanım alanını artırmaktadır. Günümüzde içtiğimiz sudan, kullandığımız elektriğe, doğal gaza, yola çıktığınızda kullandığınız trafik ışıklarına kadar, bu sistemler kullanılmakta; otomatize olarak süreçlerinin yönetildiği ve kararları alan bu sistemlere EKS (Endüstriyel Kontrol Sistemleri) diyoruz. Aynı zamanda EKS ülkeler için de büyük önem arz etmektedir ve bunun için düzenli olarak planlamalar ile simülasyonlar gerçekleştirir, ulusal güvenlik içerisinde EKS'de önemli yer almaktadır. EKS alanı oldukça geniştir; Gıda Tesisleri, Enerji Altyapıları, İletişim Altyapıları, Barajlar, Savunma Sanayii, Acil Servisler, Finansal Hizmetler, Sağlık Hizmetleri, Su ve Atık su Sistemleri, Ulaştırma Sistemleri gibi. Gündemimizde olan Covid-19 dolayısıyla, sağlık sisteminin otomatize ve düzgün çalışmasının ne kadar önemli olduğunu bir kez daha anlıyoruz. Aşı üretim tesislerinde de EKS kullanılmakta; oluşabilecek herhangi bir hatanın nelere mal olabileceğini düşünmek çok da zor olmasa gerek. EKS odaklı çalışmalar yürüten global bir güvenlik çözümleri üreticisince geçtiğimiz ay hazırlanan rapora göre 10 endüstriyel kuruluşun 9'dan fazlası siber saldırılara karşı savunmasız durumda. Bu şirketlere sızıldıktan sonra içeriden dışarıya erişim sağlanma oranı %100 ve özel verilerin çalınma oranı ise %69 olarak belirtildi. Ayrıca yapılan test çalışmalarında test edilen kurumların %75'inin ağına sızıldığı ve %56'sında ise EKS (Endüstriyel Kontrol Sistemleri)'ne erişim sağlandığı belirtildi. Türkiye'de yapılan çalışmalar ile oldukça büyük benzerlik gösterdiğini ekleyebiliriz. EKS üzerinde genel olarak eski yazılımlar kullanılmaktadır ve bu yazılımlarda eski işletim sistemleri ile uyumlu şekilde yazıldığından eski işletim sistemlerine bağlı büyük risk içermektedir. Bu yazılımları ve kullanılan işletim sistemlerini yenilemek sanıldığı kadar kolay değildir, üretimin veya çalışan yapının durması tekrardan planlanması anlamına gelmektedir. Bu da birçok kurum için önceden iyi planlanması gereken bir konudur ve geçişler genelde sancılı olmaktadır. Bunun yanı sıra bazı sistemler ise yazılım desteği sunmadığından tamamen yeni sistemlere geçmeyi, tamamen yeni bir altyapı değişimi satın alınmasını gerektirebilmektedir. Şunu unutmamak gerekir ki bu kadar kritik ve önemli sistemler de insanların kolaycılığına hedef olmaktan maalesef kurtulamıyor. EKS'de de fazlasıyla dışarıdan erişime izin verildiği, güncellemelerin yapılmadığı, erişim parolalarının kolaylığı gibi önlenebilir hatalar göze çarpıyor. Bu tespitleri yapabilmek, önlenebilir riskleri gözlemlemek için sistemlerinizi oluşabilecek risklere karşı düzenli olarak test ettirmeniz ve güvenlik politikalarınızı sürekli olarak güncellemeniz gerekmektedir.

Siber Saldırganlar Hızlandı

248.000 uç noktada yapılan analizler gösteriyor ki; saldırganların ilk erişimden sonra yanal hareketlere geçme süresi geçtiğimiz yıla oranla %67 kısaldı. Yani sisteme sızan bir saldırganın, ağdaki diğer sistemlere geçmesi normal sürenin de çok altına inmiş durumda, haliyle bu durum güvenlik ekiplerini tedirgin etmeye devam ediyor. Çünkü ağda bir saldırıyı tespit etmek için bir çok analiz yapılması ve çıktıların yorumlanmasını gerektiriyor, güvenlik ekibi saldırıyı tespit ettiğinde saldırgan çoktan sonuca ulaşmış oluyor. Geçtiğimiz yıl ağa sızan bir saldırganın, ağdaki diğer cihazlara geçme süresi ortalama 1 saat 32 dakika iken, bugün %36'sında 30 dakikanın altına düşmüş durumda. Yapılan analizler gösteriyor ki, saldırganlar ağda ilerlerken ağırlıklı olarak bilinenin aksine yeni zararlı yazılımlar değil, herkes tarafından kullanılan test yazılımları ile zafiyetleri tespit edip, istismar ediyor ve kullanıyor. Temmuz 2020 ve Haziran 2021 arasında pandemiden dolayı uzaktan çalışmaya geçilmesi ve VPN kullanımının artmasıyla sistemlere yapılan izinsiz giriş denemeleri %60 oranında artmış görünüyor. Bu tür saldırılara karşı etkili bir çözüm olan; ağda sızmaya karşı çeşitli saldırı aşamalarını tespit edip, saldırganı pek çok aşamada engelleyen, otomasyon güvenlik ürünümüz TINA'yi inceleyebilirsiniz.

Birleşmiş Milletlerde Veri Sızıntısı

Geçtiğimiz günlerde Birleşmiş Milletler sistemlerine sızıldığı ve buradan veri sızdırıldığı tespit edildi. Yapılan araştırmalarda bir BM çalışanının kimlik bilgilerine erişilmesi sonucu içeriye sızıldığı düşünülüyor. Sisteme, Umoja (BM'nin 2015 yılında devreye aldığı kurumsal kaynak planlama sistemi) hesap bilgilerinin ele geçirilmesiyle ulaşıldı. Saldırıda kullanılan hesap bilgilerinin muhtemelen darkweb üzerinden satın alındığı düşünülüyor. BM ağlarına sızıldıktan sonra ağda birçok sisteme erişildiği ve istihbarat verisi amaçlı hedeflendiği öngörülüyor. BM gibi kuruluşlar bu tür istihbarat amaçlı veri sızdırma saldırıları için olağan hedef olmaya devam ediyor. BM sistemlerine 5 Nisan 2021'de iç ağa erişim sağlandığı ve 7 Ağustos'a kadar devam ettiği tespit edilmiş durumda. Herhangi bir sisteme zarar verilmediği doğrulanmış, bu da sisteme zarar vermek için değil, istihbarat ve veri toplamak için sızıldığını göstermekte. Dünya üzerinde birçok kuruluşa benzer saldırı gerçekleşiyor ve maalesef birçok kuruluş sisteme zarar verilmediği müddetçe iç ağdaki sızmayı tespit edemiyor.

Fortinet VPN Bilgileri Sızdırıldı

Fortinet 8 Eylül 2021'de siber saldırganlar tarafından SSL VPN bilgilerinin sızdırıldığını açıkladı. Veriler 2019 yılındaki bir zafiyet aracılığı ile tespit edildi. O dönemde günümüzü konuyla alakalı olarak birçok bülten, açıklama yayınlanmasına rağmen müşterilerin iyileştirme yapmamasından kaynaklı olduğunu açıklandı. Bu zafiyet sonrası sistem üzerinde iyileştirmeler yapılsa bile, parolaların daha önceden alınmış olabileceği ve parolalarında değiştirilmesi önerilmektedir. Ayrıca bazı destekleyici önlemler aşağıda belirtilmiştir. Etkilenen cihazınızı en üst sürüme yükseltin. Üründeki tüm parolalar değiştirilerek daha önceden elde edilmiş parola riskine karşı emin olun. Zafiyetli ürününüzde kullanılan parolayı farklı bir sistemde de kullanıyorsanız, tüm sistemlerdeki parolayı değiştirin. Ürününüzde çok faktörlü kimlik doğrulamasını aktif hale getirin. Sistemlerinizi bu tür saldırılara karşı periyodik kontrolleri sağlamak amaçlı, 3. göz bakış açısıyla sızma testleri yaptırın.

Üniversite WiFi Ağlarında Risk

Üniversitelerin birçoğunda aktif olarak kullanılan Eduroam kullanıcı bilgilerinin açığa çıktığı tespit edildi. Eduroam'dan kısaca bahsetmek gerekirse, belirli güvenlik standartlarını kullanarak eduroam üyesi kurumların kullanıcılarının diğer eğitim kurumlarında da kendi kullanıcı adı ve parolasıyla internet kullanımı sağlamasına izin veren bir oluşumdur. Eduroam ülkemizde de anlık verilere göre 145 üniversite de aktif olarak kullanılmaktadır. Araştırmacılar Eduroam bağlı üniversiteler üzerinde yaptığını çalışmalarda EAP protokolünün yanlış yapılandırması sonucu binlerce üniversiteyi de etkileyen kullanıcı hesaplarının açığa çıktığını açıkladı. Şimdiye kadar incelenen 3.100 üzerinde sistemin yaklaşık yarısından fazlasının istismar edilebildiği tespit edildi. Unutulmamalıdır ki bu Eduroam'un servis ve hizmet zafiyetiyle alakalı bir durum değil, Eduroam üyelerinin bu konudaki yanlış yapılandırma hatalarından kaynaklı bir problemdir. Bu yüzden ülkemizdeki üniversiteler dahil, bu tür sorunları kendi bünyelerinde hızlıca çözmeleri gerekir, bu tür sorunlara karşı güvenlik politikaları devreye girmelidir.