Siber Güvenlik Bülteni - Nisan 2025

 

Bültenimizin Nisan Ayı konu başlıkları;  2025'in Öne Çıkan Siber Tehditleri ve Alınan Dersler Güvenlik Sadece Teknoloji Değil: Kuruluşunuzda Siber Farkındalık Kültürü Nasıl Oluşturulur? 2025 Tehdit Ortamı ve Güvenlik Yöneticileri İçin Önemli Notlar Fortinet FortiSwitch Cihazlarında Kritik Kimlik Doğrulama Atlama Güvenlik Açığı SAP NetWeaver'da Kritik Sıfırıncı Gün Güvenlik Açığı

2025'in Öne Çıkan Siber Tehditleri ve Alınan Dersler

Siber tehdit ortamı sürekli bir evrim içinde ve 2025 yılı da bu değişimin hız kesmeden devam ettiği bir yıl olarak öne çıkıyor. Siber saldırıların artık soyut riskler olmaktan çıkıp somut, yıkıcı gerçek dünya etkileri yarattığı bu dönemde, proaktif ve bilgili olmak her zamankinden daha önemli. İşte 2025'in öne çıkan siber güvenlik başlıkları ve alınması gereken önlemler: 1. Yapay Zeka (AI) Destekli Saldırılar Yeni Zirvelerde Yapay zeka teknolojilerinin ilerlemesi, siber suçlulara yeni ve tehlikeli kapılar açtı. Özellikle Deepfake (Derin Sahtekarlık) video ve ses klonlama teknolojileri kullanılarak gerçekleştirilen dolandırıcılıklar, 2025'te ciddi artış gösterdi. Saldırganlar, yöneticilerin veya güvenilir kişilerin ses ve görüntülerini taklit ederek çalışanları manipüle ediyor ve önemli miktarda mali kayba yol açan sahte para transferleri veya bilgi sızdırma eylemleri gerçekleştiriyor. Çıkarılan Ders: Finansal işlemler ve hassas bilgi paylaşımları için çok katmanlı, katı doğrulama protokolleri (telefonla geri arama, video konferans onayı vb.) şart. Çalışanların deepfake teknolojileri ve bunlarla yapılabilecek dolandırıcılıklar konusunda farkındalığının artırılması kritik önem taşıyor. 2. Hizmet Olarak Fidye Yazılımı (RaaS) Tehdidi Büyüyor Fidye yazılımları uzun süredir bir baş belası olsa da, Hizmet Olarak Fidye Yazılımı (RaaS - Ransomware-as-a-Service) modelinin yaygınlaşması tehdidi daha da büyüttü. Bu model, teknik becerisi daha düşük olan saldırganların bile karanlık ağ (dark web) üzerinden gelişmiş fidye yazılımı araçlarını ve altyapısını kiralayarak büyük ölçekli saldırılar düzenlemesini kolaylaştırıyor. Sonuç: Daha fazla kurum hedef alınıyor, operasyonel kesintiler yaşanıyor ve ciddi finansal kayıplar meydana geliyor. Çıkarılan Ders: Fidye yazılımı saldırılarının etkisini azaltmak için düzenli ve güvenilir sızma testleri ve sistem yedeklemeleri hayati önemde. Çalışanlara yönelik sürekli kimlik avı (phishing) eğitimleri ve detaylı, test edilmiş bir Olay Müdahale Planı (Incident Response Plan) olmazsa olmazlardan. Ayrıca bu konuda etkili olan TINA ailesi ürünlerimizi de inceleyebilirsiniz. 3. Tedarik Zinciri Saldırıları Domino Etkisi Yaratıyor Saldırganlar doğrudan büyük hedeflere saldırmak yerine, onların güvendiği daha küçük yazılım veya hizmet sağlayıcılarını hedef alıyor. Bu tedarik zinciri saldırıları, bir taşeron veya hizmet sağlayıcının sistemlerine sızarak, onların müşterisi olan çok sayıda kuruluşa aynı anda ulaşmayı mümkün kılıyor. Tek bir zafiyet, tüm bir ekosistemi etkileyerek operasyonları durma noktasına getirebiliyor. Çıkarılan Ders: İş yapılan üçüncü parti firmaların güvenlik durumlarının düzenli olarak değerlendirilmesi gerekiyor. Tedarik zincirinde kritik noktalara yedeklilik (alternatif sağlayıcılar vb.) oluşturmak ve sözleşmelerde güvenlik maddelerini netleştirmek, bu tür dolaylı saldırıların yıkıcı etkisini azaltabilir. 4. Ufuktaki Tehlike: Kuantum Hesaplama ve Kriptografi Henüz pratik kuantum saldırıları için birkaç yıl olsa da, kuantum bilgisayarların mevcut şifreleme standartlarını (RSA, ECC vb.) kırma potansiyeli artık göz ardı edilemeyecek bir gerçek. Bugün şifrelenen ve uzun yıllar gizli kalması gereken veriler (devlet sırları, ticari sırlar, kişisel veriler) "şimdi çal, sonra çöz" mantığıyla risk altında. Çıkarılan Ders: Kuantum tehdidine karşı hazırlıklara şimdiden başlamak gerekiyor. Kuruluşlar, şifrelenmiş varlıklarının envanterini çıkarmalı, NIST gibi standart belirleyici kuruluşların rehberliğinde kuantum-güvenli kriptografi alternatiflerini değerlendirmeli ve geçiş planlarını oluşturmaya başlamalıdır. 2025 yılı, siber tehditlerin hem daha sofistike hem de daha erişilebilir hale geldiğini gösteriyor. Yapay zeka destekli dolandırıcılıklardan RaaS platformlarına, tedarik zinciri risklerinden kuantum tehdidine kadar uzanan bu geniş yelpazede, kuruluşların sürekli tetikte olması, savunma mekanizmalarını güncel tutması ve en önemlisi bu olaylardan ders çıkararak proaktif adımlar atması gerekiyor. Unutmayalım ki siber güvenlik, sadece teknoloji değil, aynı zamanda insan, süreç ve sürekli öğrenme meselesidir.

Güvenlik Sadece Teknoloji Değil: Kuruluşunuzda Siber Farkındalık Kültürü Nasıl Oluşturulur?

Günümüzün dijital çağında siber güvenlik, her ölçekteki kuruluş için en öncelikli konulardan biri haline geldi. Ancak genellikle gözden kaçan bir gerçek var: En gelişmiş güvenlik araçları bile, çalışanların farkındalığı ve doğru davranışları olmadan tam koruma sağlayamaz. Peki, kuruluşunuzda güçlü bir siber güvenlik farkındalığı kültürü nasıl oluşturulur ve bu süreçte Bilgi Güvenliği Direktörleri (CISO'lar) nasıl bir rol oynamalıdır? CISO'nun Rolü: Farkındalık Şampiyonluğu E bir siber güvenlik yapısı çalışan farkındalığı, davranışı ve katılımına dayanır. Bu noktada CISO'lar, sadece teknik liderler değil, aynı zamanda güvenlik farkındalığının şampiyonları olarak hareket etmelidir. Görevleri, departmanlar arası köprüler kurarak güvenliği sadece IT'nin değil, tüm iş süreçlerinin ayrılmaz bir parçası haline getirmektir. Eğitimde Yeni Yaklaşımlar: Kişiye Özel ve Sürekli Artık yıllık, tek tip uyum kontrol listesi eğitimleri yeterli değil. Gerçek dünya tehditlerine karşı etkili olabilmek için: Eğitimler rollere ve departmanlara özel olarak uyarlanmalıdır. Pazarlama departmanının karşılaştığı risklerle finans departmanının riskleri farklılık gösterebilir. Sürekli öğrenme benimsenmelidir. Bu, mikro öğrenme modülleri, düzenli aralıklarla yapılan simüle edilmiş oltalama (phishing) tatbikatları ve güvenlik tehditleri hakkında düzenli güncellemeler ile sağlanabilir. Başarıyı Ölçmek ve Liderliği Dahil Etmek Bir farkındalık programının ne kadar işe yaradığını anlamak kritik öneme sahiptir. Program etkinliği; katılım oranları, eğitim sonrası değerlendirme puanları ve gerçek olaylara müdahale süreleri gibi metriklerle ölçülmelidir. Aynı zamanda, bu tür programların başarısı için üst yönetimden tam destek (buy-in) almak ve güvenlik uygulamalarını çalışanların günlük iş akışlarına doğal bir şekilde entegre etmek esastır. Sürdürülebilir Bir Güvenlik Kültürü Yaratmak Güvenlik kültürü bir gecede oluşmaz; sürekli çaba gerektirir. Bu çabanın temel taşları şunlardır: Düzenli risk değerlendirmeleri yapmak. Departmanlar arası işbirliğini teşvik etmek. Olumlu güvenlik davranışlarını tanımak ve ödüllendirmek. Güvenlik olayları veya şüpheli durumlar hakkında açık diyaloğu teşvik etmek ve raporlamayı kolaylaştırmak. Bu adımlar, çalışanların kendilerini sorumlu hissettiği bir kolektif güvenlik ve sorumluluk kültürü oluşturmaya yardımcı olur. Unutmayalım ki siber güvenlik zincirinin en güçlü (veya en zayıf) halkası insandır. Teknolojik yatırımlar ne kadar önemli olsa da, çalışanların siber tehditler konusundaki farkındalığını sürekli canlı tutmak, onları doğru davranışlar sergilemeleri için eğitmek ve güvenliği bir kurum kültürü haline getirmek, dijital dünyada dayanıklı ve güvende kalmanın anahtarıdır. Güçlü bir farkındalık programı, sadece bir uyum gerekliliği değil, aynı zamanda kuruluşunuzun en değerli varlıklarından biridir.

2025 Tehdit Ortamı ve Güvenlik Yöneticileri İçin Önemli Notlar

Siber güvenlik tehdit ortamı sürekli evrim geçiriyor ve 2025 yılına girerken, Chief Information Security Officer'lar (CISO) ve teknik liderler için önemli zorlukları da beraberinde getiriyor. Önümüzdeki dönemde karşılaşacağımız temel tehditler ve bu doğrultuda almamız gereken önlemler aşağıda özetlenmiştir: 2025 Yılının Öne Çıkan Siber Tehditleri: Yapay Zeka Destekli Saldırılar: Saldırganlar, yapay zekayı kullanarak oltalama (phishing) kampanyalarını otomatize ediyor, tespit sistemlerini atlatıyor ve zafiyetleri daha hızlı istismar ediyor. Deepfake gibi teknolojilerle geliştirilmiş kimlik sahtekarlığı ve ikna edici sahtekarlık girişimleri artış gösterecek. Gelişmiş Fidye Yazılımları (Ransomware): Fidye yazılımları, sadece veri şifrelemenin ötesine geçerek, operasyonları durdurma ve hassas bilgileri sızdırma tehdidini içeren "çift gasp" (double extortion) gibi daha sofistike taktikler kullanacak. Kritik altyapılar, sağlık hizmetleri ve finans kuruluşları başta olmak üzere birçok sektör hedef alınacak. Tedarik Zinciri Zafiyetleri: Birbirine bağlı sistemler, endüstriler arası zafiyetleri artırarak tedarik zinciri saldırılarını daha olası hale getiriyor. Bir halkadaki zafiyet, tüm zinciri etkileyebiliyor. İleri Seviye Siber Dolandırıcılık: Yapay zeka ile güçlendirilen oltalama, vishing (sesli oltalama) ve deepfake teknolojileri, bireyleri ve kurumları hedef alarak hem teknik sistemleri hem de insan psikolojisini manipüle etmeyi amaçlıyor. CISOs ve Teknik Yönetim İçin Önemli Odaklar: Stratejik Yaklaşım: Siber güvenlik artık sadece teknik bir konu değil, iş sürekliliğini ve yeniliki mümkün kılan stratejik bir iş fonksiyonudur. Teknik yöneticilerin de bu stratejik bakış açısını benimsemesi gerekmektedir. Kısıtlı Bütçelerle Güvenlik Sağlama: Artan risklere rağmen bütçe kısıtlamaları, teknik yönetimden mevcut kaynakları en verimli şekilde kullanmayı ve güçlü bir güvenlik duruşu sergilemesini bekleyecektir. Bu durum, yaratıcı ve maliyet etkin çözümler bulmayı gerektirmektedir. Esneklik ve Direnç (Resilience): Saldırıların kaçınılmaz olabileceği kabul edilerek, hızlı ve etkili bir şekilde toparlanma yetenekleri geliştirmek kritik önem taşıyor. İş sürekliliği planları ve felaket kurtarma planları güncel tutulmalı ve düzenli olarak test edilmelidir. Yapay Zeka Destekli Savunma: Tehdit aktörleri yapay zekayı kullandıkça, savunma mekanizmalarında da yapay zekadan faydalanmak gerekmektedir. Gerçek zamanlı tehdit tespiti ve müdahale için yapay zeka destekli araçların değerlendirilmesi önemlidir. Teknik ve Organizasyonel Boyutlar: Güvenlik, sadece teknik kontrollerle sağlanamaz. Çalışan farkındalığı, güvenlik politikaları ve prosedürler gibi organizasyonel boyutlar da güçlendirilmelidir. Sürekli Eğitim ve Farkındalık: Tehdit ortamının hızla değişmesi, teknik ekiplerin ve tüm çalışanların güncel tehditler ve korunma yöntemleri konusunda sürekli eğitim almasını zorunlu kılmaktadır. 2025 tehdit ortamı, siber güvenliğin her zamankinden daha fazla önceliklendirilmesi gerektiğini göstermektedir. Teknik yöneticiler olarak, bu tehditlere karşı hazırlıklı olmak, proaktif güvenlik stratejileri uygulamak ve organizasyonumuzun siber direncini artırmak hepimizin sorumluluğudur.

Fortinet FortiSwitch Cihazlarında Kritik Kimlik Doğrulama Atlama Güvenlik Açığı

Fortinet, yönetilen FortiSwitch cihazlarını etkileyen kritik (CVSS Puanı: 9.3) bir güvenlik açığı (CVE-2024-48887) için acil güncellemeler yayınlamıştır. Bu güvenlik açığı, doğrulanmamış parola değişikliğine (CWE-620) olanak tanıyarak uzak ve kimliği doğrulanmamış saldırganların özel hazırlanmış istekler aracılığıyla yönetici parolalarını değiştirmesine imkan verir. Tehdit Detayları: Açıklık: Güvenlik açığı, FortiSwitch'in web tabanlı grafiksel kullanıcı arayüzünde (GUI) bulunmaktadır. Etki: Başarılı bir saldırı sonucunda, kimliği doğrulanmamış bir saldırgan, yönetim arayüzüne erişimi olan bir ağdan, kimlik doğrulama mekanizmalarını atlayarak yönetici parolalarını değiştirebilir. Keşif: Güvenlik açığı, Fortinet içerisinden (Daniel Rozeboom, FortiSwitch web UI geliştirme ekibi) keşfedilmiş ve raporlanmıştır. Sömürü Durumu: Bültenin yayınlandığı tarihte (Nisan 2025 başı) bu açığın aktif olarak sömürüldüğüne dair bir kanıt bulunmamaktadır, ancak Fortinet açıklarının geçmişte hedef alındığı göz önüne alındığında risk yüksektir. Etkilenen Sürümler: FortiSwitch 7.6.0 FortiSwitch 7.4.0 ila 7.4.4 arası FortiSwitch 7.2.0 ila 7.2.8 arası FortiSwitch 7.0.0 ila 7.0.10 arası FortiSwitch 6.4.0 ila 6.4.14 arası Çözüm ve Öneriler: Fortinet, aşağıdaki veya daha yeni sürümlere acil yükseltme yapılmasını şiddetle tavsiye etmektedir: FortiSwitch 7.6.1 FortiSwitch 7.4.5 FortiSwitch 7.2.9 FortiSwitch 7.0.11 FortiSwitch 6.4.15 Derhal güncelleme yapamayan kurumlar için geçici çözümler önerilmektedir: Yönetim arayüzlerinden HTTP/HTTPS erişimini devre dışı bırakmak. Sisteme erişimi yalnızca güvenilir ana bilgisayarlarla (trusted hosts) sınırlandırmak. config system admin edit set {trusthost1 | trusthost2 | trusthost3} next end Bu güvenlik açığı, etkilenen FortiSwitch cihazları için önemli bir risk oluşturmaktadır. Kullanıcıların sistemlerini güvence altına almak için belirtilen güncellemeleri mümkün olan en kısa sürede uygulamaları veya geçici çözümleri devreye almaları kritik önem taşımaktadır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

SAP NetWeaver'da Kritik Sıfırıncı Gün Güvenlik Açığı

SAP NetWeaver platformunda, aktif olarak sömürülen, kritik (CVSS Puanı: 10.0) bir sıfırıncı gün (zero-day) güvenlik açığı tespit edilmiştir. CVE-2025-31324 olarak izlenen bu açık, özellikle Visual Composer Metadata Uploader bileşenindeki yetkilendirme eksikliğinden kaynaklanmaktadır. Tehdit Detayları: Açık, kimliği doğrulanmamış saldırganların savunmasız /developmentserver/metadatauploader uç noktası üzerinden kötü amaçlı dosyalar (özellikle JSP web kabukları) yüklemesine izin vermektedir. Bu durum, saldırganlara yüksek ayrıcalıklarla (<sid>adm kullanıcısı) rastgele komut çalıştırma, sistemler üzerinde tam kontrol sağlama, hassas verileri sızdırma ve ağ içinde yatay hareket etme imkanı tanımaktadır. Saldırıların Mart 2025'ten beri devam ettiği ve 10.000'den fazla internete açık SAP uygulamasını etkileyebileceği rapor edilmiştir. Tamamen yamalı sistemlerin dahi hedef alındığı gözlemlenmiştir. Saldırganların Brute Ratel C4 ve Heaven's Gate gibi gelişmiş araç ve teknikler kullandığı belirlenmiştir. Acil Eylem Çağrısı: SAP, bu açığı gidermek için 24 Nisan 2025 tarihinde acil bir güvenlik yaması (Security Note 3594142) yayınlamıştır. Tüm SAP müşterilerinin bu yamayı derhal uygulaması şiddetle tavsiye edilir. Normal yama döngüleri beklenmemelidir. Yama hemen uygulanamıyorsa, geçici çözüm olarak: /developmentserver/metadatauploader uç noktasına erişimin kısıtlanması. Kullanılmıyorsa Visual Composer bileşeninin tamamen devre dışı bırakılması (SAP Note 3593336). Sistem günlüklerinin şüpheli aktivitelere karşı dikkatle izlenmesi gerekmektedir. Bu güvenlik açığı, SAP sistemleri için ciddi bir risk teşkil etmektedir. Belirtilen acil önlemlerin ve güncellemelerin ivedilikle hayata geçirilmesi kritik önem taşımaktadır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 satis@isr.com.tr En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Ekim 2024

 

Bültenimizin Ekim Ayı konu başlıkları;  Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı Palo Alto Networks, PAN-OS Zafiyeti Oracle’ın Ekim 2024 Kritik Yama Güncellemesi  1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti. FortiManager Güvenlik Zafiyeti Hakkında FortiManager, Fortinet’in FortiGate güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır. Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı. CVE-2024-47575 Açığı Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi. Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı. Yeni Tehdit Kümesi UNC5820 Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir. Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır. FortiJump: Devlet Destekli Casusluk İddiaları Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür. FortiManager Güvenlik Açığının Yaygınlığı Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor. İhlal Göstergeleri ve Güvenlik Önerileri CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor. Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

Cisco, Nisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir. Güvenlik açığı hakkında: Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir. Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı: Cisco Secure Firewall VPN Checkpoint VPN Fortinet VPN SonicWall VPN RD Web Services Miktrotik Draytek Ubiquiti Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir. Güvenlik açığının tespiti ve giderilmesi: Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir: firewall# show running-config webvpn | include ^ enable Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir. Diğer Cisco Güvenlik Açıkları Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir. Özet: CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9) CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9) CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3) Ek Bilgiler ve Önerilen Çözümler: CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır. CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir: no ssh stack ciscossh Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir. CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır. CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir: zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages* Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır. CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

Palo Alto Networks, PAN-OS Zafiyeti

Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi. Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti. Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS), hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır: CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı PoC’de Açık İstismar Edildi Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı. Güncellemeler ve Alınması Gereken Önlemler Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor. Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır. Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.

Oracle’ın Ekim 2024 Kritik Yama Güncellemesi

Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor. Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:   MySQL Fusion Middleware Database Enterprise Manager Tedarik Zinciri Ürünleri Finansal Hizmet Uygulamaları İletişim Uygulamaları Perakende Uygulamaları Kamu Hizmetleri Uygulamaları PeopleSoft Siebel Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları 334 güvenlik yamasından 61’i, kimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:   Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir). Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir). Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir). Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir). Oracle'ın amiral gemisi olan Oracle Database, 6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.   Oracle’dan Acil Güncelleme Tavsiyesi Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.   Güncelleme Süreci İçin İpuçları Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir: Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun. Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.   Yeni Fidye Yazılımı Gruplarındaki Artış Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:   LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu. PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı. RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi. BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.   Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor. Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.   Devlet Destekli Siber Faaliyetlerin Analizi Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:   Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor. Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda. İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor. Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.   Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 satis@isr.com.tr En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Nisan 2024

 

Bültenimizin Nisan Ayı konu başlıkları;  Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız   Palo Alto, PAN-OS Zafiyeti Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor Putty Zafiyeti Ivanti MDM Kritik Zafiyet Cisco Duo SMS ve VoIP Sızıntısı

Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız

Oldukça uzun dönem boyunca varlığı fark edilmeyen ve açık kalan bir çok zafiyeti dünyanın önde gelen markalarında, kabul edilebilecek seviyelerin oldukça üzerinde, şaşırtıcı düzeydeki bir sıklıkta gözlemlemekteyiz. Bu durum, marka büyüklüğü ile aynı oranda markaya karşı hissedilen güven duygusunun gözden geçirilmesi gerekliliğini hatırlatmakta. Çeşitli büyük ve bilindik markaları etkileyen sıfır gün açıklarının aktif olarak kullanıldığı ve bu şekilde uzunca dönem boyunca hedeflere sızma ve kalıcı erişim için gizli arka kapılar kurma girişimlerinin başarılı olduğu, sonuçlarıyla ortaya çıktığı gözlemleniyor. Markalarca üretilen güvenlik çözümlerinin, güvenlik camiasınca basit düzeyde olduğu gözlemlenen şaşırtıcı hataları, potansiyel riskleri arttırmakla kalmıyor, aynı zamanda dış ağ ile iç ağ arasındaki ayrımını belirsizleştiriyor, böylece kurumları büyük saldırılara karşı korumak yerine açık bir hedef haline getiriyor. Kullanılan çözüm sayısının artması, IT yöneticilerine satın alma ve kullanım aşamasında ek yük getirdiğinden farklı markalı ürünlerden uzak durulmasına, hatta kontrolün kolay olmasından dolayı "uçtan uca" aynı ürün kullanımına yol açtı. Ancak içeriye sızan bir saldırganın da aynı ürün açıklıkları veya erişim kolaylıkları ile "uçtan uca" ilerleme fırsatıyla baş başa kaldığını unutmamamız gerekiyor. Sistemlerde ortaya çıkan yetkisiz erişimlerin, bilgi çalınmalarının veya sistemlerin zarar görmesi olaylarının, IT yöneticisinin gündelik iş yoğunluklarını ve bütçe harcamalarını çok daha katlanılmaz hale getirdiğini ve işletmeyi daha çok yorduğunu söyleyebiliriz. Ortaya çıkan bu durumlara karşı atılabilecek en önemli adım; çözüm gamında farklı teknolojiler kullanılması ve farklı markalar ile çalışılması, yani kısacası önlemlerin çeşitlendirmesidir.   Sunucu ve servislerinize İnternet üzerinden kısıtlı ve kontrollü erişimini sağlayan yeni güvenlik katmanı TINA ISOLATOR 'ü ücretsiz deneyebileceğinizi hatırlatırız. Yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

Palo Alto, PAN-OS Zafiyeti

Palo Alto Networks, 26 Mart'tan beri etkin olarak kötüye kullanılan bir sıfır gün açığı için düzeltmeler yayınlamaya başladı. Bu kritik güvenlik açığı (CVE-2024-3400), cihaz telemetriği ve GlobalProtect (gateway veya portal) etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 duvarlarını etkiliyor. Kimliği doğrulama aşaması öncesinde; saldırganlar kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarda, uzaktan kod çalıştırabilmek için bu zafiyeti kullanabilirler. Şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınladığı düzeltmelerle güvenlik açığını düzeltti. Daha sonraki PAN-OS sürümleri için daha fazla düzeltme yakında yayınlanacak. Palo Alto Networks'un aktif kötüye kullanım uyarısı, bu sıfır gün açığını keşfeden ve tehdit aktörlerinin Upstyle kötü amaçlı yazılımını kullanarak PAN-OS cihazlarına arka kapı bırakarak ağlara sızdığını ve veri çaldığını tespit eden güvenlik firması Volexity tarafından doğrulandı. Siber güvenlik araştırmacıları, CVE-2024-3400 saldırılarına karşı ilk belirlemelere göre savunmasız olan çevrimiçi 82.000'den fazla PAN-OS cihazı bulduğunu belirtti. CISA, CVE-2024-3400'ü Bilinen Sömürülen Güvenlik Açıklıkları (KEV) kataloğuna ekledi ve federal ajanslara tehdit önleme kuralını uygulayarak veya 19 Nisan'da bir hafta içinde telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını tavsiye etti. Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor

Şu anda hacker'lar 3.000'den fazla Fortinet SSL-VPN cihazına yönetici erişimi sunuyorlar. Bu ihlal, uzaktan erişim için bu cihazlara güvenen birçok kuruluşun güvenliğine ciddi bir tehdit oluşturuyor. Bir X hesabından atılan bir tweet, kimliği belirsiz bir hacker grubunun Fortinet SSL-VPN cihazlarındaki güvenlik açıklarını sömürmeyi başardığını gösteriyor. İşletmeler, bu cihazları uzaktan çalışan personelinin kurumsal ağlara güvenli erişimini sağlamak için yaygın olarak kullanıyorlar. Bu ihlal, yetkisiz erişime ve hassas kurumsal verilerin ve iç ağların erişilmesine izin verebilir. Potansiyel Etki Bu cihazlara yönetici erişiminin satılması, veri hırsızlığı, fidye yazılımı saldırıları ve diğer kötü niyetli faaliyetler gibi ciddi sonuçlara yol açabilir. Bu ihlalden etkilenen kuruluşlar, bu ihlal doğru bir şekilde yönetilmezse sadece operasyonel ve finansal verilerini kaybetmekle kalmayacak, aynı zamanda ciddi bir itibar kaybıyla karşı karşıya kalabilirler. Fortinet henüz bu belirli olaya resmi bir yanıt vermedi. Ancak, şirket ürünlerindeki güvenlik açıklarını hızlı bir şekilde yamalar ve güncellemeler aracılığıyla çözmeye çalışmaktadır. Fortinet SSL-VPN cihazlarını kullanan kullanıcılar, şirketten gelen güncellemelere dikkat etmeleri ve güvenlik yamalarını hemen uygulamaları konusunda uyarılıyor. Güvenlik Önerileri Siber güvenlik uzmanları, Fortinet SSL-VPN cihazlarını kullanan kuruluşlar için şu adımları önermektedir: Hemen Denetim Yapın: Tüm Fortinet SSL-VPN cihazları için derhal bir güvenlik denetimi yapın. Yamaları Uygulayın: Tüm cihazların Fortinet'in en son yazılımını ve güvenlik yamalarını çalıştığından emin olun. Gelişmiş İzleme: Şüpheli faaliyetleri hızlı bir şekilde tespit etmek ve yanıtlamak için ağ trafiğini ve alışılmadık erişim desenlerini geliştirilmiş şekilde izleyin. Personel Farkındalığı: Çalışanları olası riskler konusunda eğitin ve onları phishing girişimleri ve diğer sosyal mühendislik taktikleri konusunda dikkatli olmaları konusunda teşvik edin. 3.000 ayrı Fortinet SSL-VPN cihazına yönetici erişiminin satılması, dijital dünyadaki sürekli tehditlerin bir hatırlatıcısıdır. Kuruluşlar, ağlarını hemen güvence altına almalı ve bu tür zafiyetlere karşı verilerini korumalıdır.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 satis@isr.com.tr

Putty Zafiyeti

PuTTY Güvenli Kabuk (SSH) ve Telnet istemcisinin bakımını üstlenen ekip, 0.68'den 0.80'e kadar olan sürümleri etkileyen ve NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tam kurtarımını sağlayabilecek kritik bir açıklığa dikkat çekiyor. Zafiyet CVE-2024-31497 kodu ile takip edilebilir. PuTTY ekibi "açığın etkisi özel anahtarı tehlikeye atmaktır" dedi. İki düzineden biraz daha fazla imzaya ve genel anahtara sahip bir saldırgan, özel anahtarı kurtarmak ve ardından sizin gibi imzalar üretmek için yeterli bilgiye sahip olur, böylece sizin için anahtar kullandığınız herhangi bir sunucuya giriş yapabilirler. Ancak imzaları elde etmek için bir saldırganın anahtarın kimlik doğrulaması için kullanıldığı sunucuyu ele geçirmesi gerekecektir. PuTTY'yi etkilediği gibi, diğer ürünleri de etkiler - FileZilla (3.24.1 - 3.66.5) WinSCP (5.9.5 - 6.3.2) TortoiseGit (2.4.0.2 - 2.15.0) TortoiseSVN (1.10.0 - 1.14.6) Sorumlu açıklamanın ardından, sorun PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ve TortoiseGit 2.15.0.1'de çözüldü. TortoiseSVN kullanıcıları, bir yama kullanılabilir hale gelene kadar SSH aracılığıyla bir SVN deposuna erişirken en son PuTTY 0.81 sürümündeki Plink'i kullanmaları önerilir. Özellikle, bu eski yaklaşım, PuTTY geliştiricileri tarafından belirtildiği gibi, yüksek kaliteli rasgelelik kaynağına ihtiyaç duymadan nonce'u türetme yöntemine sahip olmasına rağmen, P-521 kullanıldığında eğik nonce'lara duyarlı olan deterministik bir yaklaşım kullanarak elde edildi. Bu eski yaklaşım, Microsoft Windows'un kriptografik rasgele sayı üreteci için yerleşik desteğe sahip olmadığı bir dönemde geliştirildi. Zafiyetli bileşenlerle kullanılan ECDSA NIST-P521 anahtarları tehlikeye atfedilmeli ve dolayısıyla bunlar ~/.ssh/authorized_keys dosyalarından ve diğer SSH sunucularındaki karşılıklarından kaldırılarak iptal edilmelidir.

İvanti MDM Kritik Zafiyet

İvanti, Avalanche mobil cihaz yönetimi (MDM) çözümünde 27 güvenlik açığını düzeltmek için güvenlik güncelleştirmeleri yayınladı, bunlardan ikisi uzaktan komut yürütme için kullanılabilen kritik heap taşmaları. Avalanche, kurumsal yöneticilerin 100.000'den fazla mobil cihazı tek bir merkezi konumdan uzaktan yönetmelerini, yazılım dağıtmalarını ve güncellemeleri planlamalarını sağlayan bir çözümdür. İvanti, iki kritik güvenlik açığının (CVE-2024-24996 ve CVE-2024-29204) Avalanche'in WLInfoRailService ve WLAvalancheService bileşenlerinde bulunduğunu açıkladı. İkisi de bellek tabanlı tampon taşma zayıflıklarından kaynaklanmaktadır ve kimlik doğrulaması yapılmamış uzaktan saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla savunmasız sistemlerde keyfi komutlar yürütmesine izin verebilir. Ivanti, uzaktan saldırganların hizmet reddi saldırıları tetikleyebileceği, SYSTEM olarak keyfi komutlar yürütebileceği, bellekten hassas bilgileri okuyabileceği ve uzaktan kod yürütme saldırıları başlatabileceği 25 orta ve yüksek ciddiyetli hataları düzeltti. "Güvenlik açıklarını ele almak için aşağıda listelenen Avalanche sürümüne yükseltmek ve en son Avalanche 6.4.3 sürümüne güncellemek çok önemlidir." İvanti, geçen Aralık ayında Avalanche MDM çözümünde 13 kritik düzeyde uzaktan kod yürütme açığını yamaladıktan sonra, Ağustos ayında topluca izlenen iki başka Avalanche tampon taşması olan CVE-2023-32560'ı düzeltmişti. Hackerlar, bir yıl önce Norveçli birçok hükümet kuruluşunun ağlarını ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) olarak da bilinen MobileIron Core'un iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandılar. Aylar sonra, saldırganlar üçüncü bir MobileIron Core sıfır günü (CVE-2023-35081) ile CVE-2023-35078'i birleştirdiler ve aynı zamanda bir düzine Norveçli bakanlığın IT sistemlerine de sızdılar. "Cep cihazı yönetimi (MDM) sistemleri, binlerce mobil cihaza yükseltilmiş erişim sağladıkları için tehdit aktörleri için çekici hedeflerdir ve APT aktörleri önceki bir MobileIron açığından yararlanmıştır," (CISA'nın eski bir uyarısı.)

Cisco Duo SMS ve VoIP Sızıntısı

Cisco Duo Güvenlik Ekibi, telekomünikasyon sağlayıcılarında gerçekleşen bir siber saldırıda bazı müşterilerin VoIP ve SMS günlüklerinin çalındığını bildiriyor. Cisco Duo, şirket içi ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü kimlik doğrulama ve Tek Oturum Açma (SSO) hizmetidir. Duo'nun ana sayfasına göre, hizmet 100.000 müşteriye hizmet veriyor ve aylık olarak bir milyardan fazla kimlik doğrulaması yapıyor; Google Play'de ise 10.000.000'den fazla indirme rakamına ulaşmış durumda. Müşterilere gönderilen e-postalarda Cisco Duo, 1 Nisan 2024 tarihinde yaşanan bir telekomünikasyon sağlayıcısı üzerindeki siber saldırı hakkında bilgi veriyor. Bildirimde, bir tehdit aktörünün bir avlanma saldırısıyla çalışan kimlik bilgilerini elde ettiği ve ardından bu kimlik bilgilerini kullanarak telekomünikasyon sağlayıcısının sistemlerine erişim sağladığı belirtiliyor. Saldırgan daha sonra 1 Mart 2024 ile 31 Mart 2024 tarihleri arasındaki belirli Duo hesaplarıyla ilişkilendirilen SMS ve VoIP MFA mesaj günlüklerini indirmiş. Sağlayıcı, tehdit aktörünün mesajların içeriğine erişim sağlamadığını veya erişimlerini müşterilere mesaj göndermek için kullanmadığını doğruladı. Ancak, çalınan mesaj günlükleri, kurumsal kimlik bilgilerine erişmek için hedefe yönelik avlanma saldırılarında kullanılabilecek veriler içeriyor. Bu günlüklerde bulunan veriler şunları içerir: Telefon numarası Taşıyıcı Konum verisi Tarih Saat Mesaj türü Etkilenen tedarikçi saldırıyı keşfettiğinde, etkilenen kimlik bilgilerini geçersiz kıldı, etkinlik günlüklerini analiz etti ve Cisco'yu bilgilendirdi. Benzer olayların gelecekte yaşanmasını önlemek için ek güvenlik önlemleri de alındı. Cisco, bu ihlalden etkilenen müşterileri, çalınan bilgileri kullanarak potansiyel SMS avlanma veya sosyal mühendislik saldırılarına karşı dikkatli olmaları konusunda uyarıyor. FBI geçen yıl, tehdit aktörlerinin kurumsal ağlara sızmak için SMS avlanma ve sesli aramaları kullanma konusunda giderek artan bir eğilim gösterdiğini uyardı. 2022 yılında, bir tehdit aktörü bir Uber çalışanında çok faktörlü kimlik doğrulama yorgunluğu saldırısı gerçekleştirdikten sonra onlara WhatsApp üzerinden telefon numarasıyla iletişime geçerek, IT yardım masası personeli gibi davranarak, sonunda hedefin hacklere hesaba giriş yapmalarına ve Uber'in sistemlerine erişmelerine izin verdi. Cisco, bu olaydan etkilenen tedarikçinin adını ve bu olaydan etkilenen net müşteri sayısını açıklamadı. Cisco, Duo'nun müşterilerinin yaklaşık %1'ini etkilediğini bildirdi. Şirketin 100.000 kullanıcısı olduğu iddia edildiğine göre, bu olay yaklaşık olarak 1.000 kişiyi etkiledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 satis@isr.com.tr En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.