Siber Güvenlik Bülteni - Haziran 2023

 

Bültenimizin Haziran Ayı konu başlıkları;  Barracuda'da Sıfırıncı Gün Zafiyeti Fortinet'te Kritik Zafiyetler RDP'ye Saldırılar Durmuyor Chrome'da Kritik Zafiyetler Asus Wifi Router için Kritik 9 Zafiyet

Barracuda'da Sıfırıncı Gün Zafiyeti

Barracuda'da tespit edilen CVE-2023-2868 referans numaralı zafiyetin Ekim 2022'den beri zararlı yazılım yayma ve veri ihlallerinde kullanıldığı tespit edildi. CVE-2023-2868 referans numarası ile takip edilen sıfırıncı gün açığı uzaktan komut çalıştırmaya imkan sağlamakta ve Email Security Gateway (ESG) cihazlarını etkilemektedir. ESG cihazlarının 5.1.3.001 ile 9.2.0.006 sürümleri etkilenmektedir. Yapılan analizlerde Barracuda cihazlarında üç farklı zararlı yazılım tespit edildi. Saltwater; Barracuda SMTP üzerinde çalışan bir modül olarak tasarlanmış ve uzaktan dosya yükleme veya indirme, komut yürütme ve proxy veya tünel oluşturma amaçlı kullanılmaktadır. Seaspy; meşru bir Barracuda hizmeti olarak görünür, trafiği izler ve arka kapı işlevi sağlar. Seaside; Barracuda SMTP servisini hedefler, reverse oluşturarak C&C (komut ve kontrol) bağlantısı sağlar. Barracuda her ne kadar zafiyet ile ilgili bir yama yayınlasa da, cihazların güncel olduğundan emin olunmasını ve güvenliği ihmal edilmiş cihazları kullanmayı bırakmalarını tavsiye etti. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

Fortinet'te Kritik Zafiyetler

Fortinet'in son yıllarda hızla artan zafiyetlerine yenileri eklenmeye devam ediyor. Yeni zafiyetlerde de kimliği doğrulanmamış kullanıcının uzaktan kod çalıştırmasına olanak sağladığı doğrulanmıştır.  FortiOS tarafında tespit edilen zafiyet,  CVE-2023-27997 referans numarası ile takip edilebilir, uzaktan kimliği doğrulanmamış bir saldırgan tarafından kod çalıştırmaya olanak sağlamaktadır. Zafiyet ile SSL-VPN ön kimlik doğrulamasında yığın bellek taşması yaratarak sisteme sızmaya imkan sağlamaktadır. Fortinet SSL VPN kullanan tüm müşterilerinin hızlıca yamaları yapmasını öneriyor, SSL VPN kullanmayan müşterilerinin ise riskinin azaldığını belirtmekte fakat onlarında yamalarını yapmalarını önermektedir. FortiNAC tarafında tespit edilen zafiyet,  CVE-2023-33299 referans numarası ile takip edilebilir, kimliği doğrulanmamış bir kullanıcının TCP 1050 hizmetine yönelik özel olarak tasarlanmış istekler ile yetkisiz kod çalıştırmasına imkan sağlamaktadır. 7.2.0'dan 9.4.2'ye kadar olanlar da dahil olmak üzere birçok FortiNAC sürümü, bu uzaktan kod yürütme güvenlik açığından etkilenmektedir. Fortinet hızlıca bu yamaların yapılmasını önermektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

RDP'ye Saldırılar Durmuyor

Uzak masaüstü bağlantıları her ne kadar kurumlar için hızlı ve kolay çözüm olarak görülse de, saldırganları çekme konusunda da adeta bir mıknatıs görevi görmektedir. Dışarı açık olan bir RDP günde ortalama 37.000'den fazla bağlantı talebi almaktadır. Bunların çoğunluğu otomatik botlar tarafından gerçekleştirilmektedir fakat doğru bir bağlantı tespitinde de direkt saldırganın manuel uğraşları devreye girmektedir. Bir araştırma grubu tarafından kurulan RDP bal küpü (honeypot) ağında 3 aylık bir dönemde yaklaşık 3.5 milyon oturum açma talebi geldi, 1 yıl içerisinde ise 13 milyondan fazla oturum açma talebi geldi. Bu saldırılarda gelen talepler ağırlıklı olarak Rusya ve Çin IPlerinden oluşmaktadır.  Gerçekleştirilen oturum açma taleplerinde kullanılan Administrator, ADMIN, ADMINISTRATOR, Admin, administrator gibi standart kullanıcı adları dışında, RDP honeypotlara verilen isimlere özgü kullanıcı adlarının da oluşturulup denendiği ortaya çıktı.  Dışarı açık olan servislerin her zaman risk içerdiğini ve servisin dışarı açıldığı an itibariyle hedef haline geldiğini net olarak görebiliyoruz, bu yüzden dışarı açık olan servisleri korumak için yeni çözümümüz TINA ISOLATOR'ü öneriyoruz, detaylı bilgi için bize ulaşabilirsiniz

Chrome'da Kritik Zafiyetler

Google, meşhur web tarayıcısı Chrome için acil yama yayınladı. CVE-2023-3079 referans kodu ile takip edilen güvenlik açığı, V8 JavaScript motorunda bir tür karışıklık hatası olarak tanımlandı. NIST'in Ulusal Güvenlik Açığı Veritabanına göre; 114.0.5735.110'dan önceki Google Chrome'daki V8'deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak yığın bozulmasından yararlanmasına izin vermektedir. Google saldırının detaylarını açıklamadı fakat hali hazırda zafiyetin kullanıldığını belirtti.  Yılbaşından bu yana Chrome üzerinde 3 farklı sıfır gün zafiyeti tespit edildi; CVE-2023-2033 V8'de Tür Karışıklığı ve CVE-2023-2136 Skia'da tamsayı taşması. Kullanıcıların olası tehditleri azaltmak için, Windows için 114.0.5735.110 ve macOS ve Linux için 114.0.5735.106 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeleri kullanıma sunulduğunda, acilen yamaları uygulamaları önerilmektedir.

Asus Wifi Router için Kritik 9 Zafiyet

Tayvanlı bilgisayar donanımı üreticisi Asus, WiFi yönlendirici ürün serilerindeki güvenlik açıklarını gidermek için acil yazılım güncellemeleri gönderdi ve kullanıcıları uzaktan kod yürütme saldırıları riskine karşı uyardı. Asus; kod yürütme, hizmet reddi, bilgi ifşası ve kimlik doğrulama baypaslarına izin veren içerisinde 2018’den beri sömürüldüğü anlaşılan 9 güvenlik açığını yamaladı. Etkilenen ürünler;   GT6/GT-AXE16000/GT-AX11000 PRO/GT-AXE11000/GT-AX6000/GT-AX11000/GS-AX5400/GS-AX3000/XT9/XT8/XT8 V2/RT-AX86U PRO/RT-AX86U/RT-AX86S/RT-AX82U/RT-AX58U/RT-AX3000/TUF-AX6000/TUF-AX5400. Ayrıca güncelleme yapmayan müşterileri içinde "olası istenmeyen izinsiz girişleri önlemek için WAN tarafından erişilebilen hizmetleri devre dışı bırakmanızı kesinlikle öneririz." açıklamasında bulundu ek olarak "Yönlendiricinizi en son üretici yazılımına güncelleyin. Yeni üretici yazılımı çıkar çıkmaz bunu yapmanızı şiddetle tavsiye ediyoruz" diyen şirket, kullanıcıların kablosuz ağ ve yönlendirici yönetim sayfaları için ayrı parolalar ayarlaması gerektiğini de sözlerine ekledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz

Siber Güvenlik Bülteni - Nisan 2021

 

Cring Fidye Saldırısı Kapısı: Forti VPN

2021 yılında da fidye saldırılarının hız kesmeden devam ettiğini görüyoruz. Siber Suçluların, endüstriyel işletmelere Cring olarak adlandırılan fidye yazılımı bulaştırmak için Fortinet VPN CVE-2018-13379 kodlu zafiyeti kullandığı tespit edilmiştir. Cring zararlısı, eriştiği cihazlardaki kritik dosyaları şifrelemekte ve daha sonra şifrelenen dosyaların kurtarılması için ücret talep etmektedir. 2019 yılında tespit edilmiş ve yaması yayınlamış olmasına rağmen, bu zafiyetin hâlâ kullanılabilmesi, birçok saldırıda olduğu gibi güncellemenin vaktinde yapılmamasının sonuçlarını net olarak ortaya koymaktadır. Cring yazılımı bulaştırıldığı sistemde, ilk etapta açık kaynak kodlu Mimikatz aracını kullanarak hedef cihazdaki kullanıcı bilgilerini toplamaktadır. Topladığı bilgiler ile birlikte ağda tüm cihazlara yerleşmeyi deneyerek mümkün olan en fazla sayıda cihaza bulaşmaya çalışmaktadır, bulaştıktan sonra ise APT'lerin genel mantığı olan kalıcılık için, bir arka kapı oluşturmakta ve saldırgana dışarıdan erişim imkanı vermektedir. Korunmak için; CVE-2018-13379 için hazırlanmış olan yamayı uygulayınız. Kritik sistemlerin yedeklerini düzenli olarak yedekleyip, yedekleme planlamanızı uygulayınız. Kurum sistemlerinin güvenliğini kontrol altında tutmak için güvenlik danışmanlarından faydalanınız. Bu konuda desteğe ihtiyaç duyduğunuzda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın. Ağınızdaki sistemlerin anlık analiz edilebilmesi ve korunması için çözüm sunan siber saldırı algılama ve engelleme sistemleri kullanınız. Bu konuda desteğe ihtiyaç duyduğunuzda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Hedefte Bu Kez SAP var

Güncel olmayan ve yanlış yapılandırılmış sistemler SAP'yi de vurmaya devam ediyor. Saldırganlar hassas verilerin çalınmasına, finansal dolandırıcılığa, fidye saldırılarına, kkritik iş süreçlerinin kesintiye uğratmasına ve diğer operasyonel kesintilere sebep olmaktadır. SAP günümüzde kritik önem taşıyan gıda dağıtımı, tıbbi sistemler, ilaç sektörü, kamu sistemleri, savunma sektörü gibi yaygın bir şekilde kullanılıyor. Dünya üzerinde yaklaşık 400.000 den fazla kuruluşta kullanıldığı bilinmektedir. SAP şimdiye açığa çıkmış tüm zafiyetlerini yamalamıştır fakat yamalanmamış sistemlerin sayısı epey yüksektir ve bu sistemler her geçen gün saldırıya uğramaktadır. Hali hazırda sık kullanılan SAP zafiyetleri şu şekilde listelenmektedir: CVE-2020-6287 CVE-2020-6207 CVE-2018-2380 CVE-2016-9563 CVE-2016-3976 CVE-2010-5326

Google Play Faturalandırma Saldırıları

Geçtiğimiz aylarda Google Play Store üzerinde birçok uygulama kaldırıldı, bilindiği üzere Google Play Store son yıllarda artan uygulama ve kontrol denetimlerinde tespit edilemeyen birçok uygulamayı da güvenlik ihlali dolayısıyla bir süre sonra kaldırıyor. Bu sefer tespit edilen ve kaldırılan uygulamalar SMS bildirimlerini ele geçiren uygulamalar oldu. Tespit edilip Google Play Store'dan kaldırılmadan önce uygulamaların yaklaşık 750.000 kişi tarafından indirildiği tespit edildi. İndirilen uygulamalar, arka planda kişi telefonunda yapılan ödemelerin onay kodu SMS'lerini arka planda alarak, kurbana faturalandırmaktadır. Bu yazılımların genel çalışma mantığı, Google Play Store üzerinde ilk yayınlandığı sürümlerin normal bir uygulama olarak çalışması ve ilerleyen dönemlerde güncellemelerde gönderilen kodlar ile birlikte kullanıcı telefonlarını gizlice saldırıya açık hale getirmesidir. Telefonunuza indirdiğiniz uygulamaların sizlerden ne tür izinler talep ettiğini incelemenizi ve standart global popüler uygulamalar dışında herhangi bir uygulamayı telefonunuza yüklememenizi öneririz. Tespit Edilen En Popüler Uygulamalar: Keyboard Wallpaper (com.studio.keypaper2021) PIP Photo Maker (com.pip.editor.camera) 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper) Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer) Picture Editor (com.ce1ab3.app.photo.editor) PIP Camera (com.hit.camera.pip) Keyboard Wallpaper (com.daynight.keyboard.wallpaper) Pop Ringtones for Android (com.super.star.ringtones) Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

​1.3 Milyon RDP Server Erişim

UAS (Ultimate Anonymity Services), RDP bilgileri satılan platform üzerinden yaklaşık 1.3 milyon RDP giriş bilgileri satıldığı tespit edildi. Bu giriş bilgilerinin birçoğu önceki saldırılardan elde edilen kullanıcı adı ve parolalardan oluşmaktadır. RDP (Uzak Masaüstü Protokolü) kurum ağındaki sistemlere uzaktan veya yerel ağdan sisteme direkt erişim olanağı sağlamaktadır ve pandemi ile birlikte birçok kurum tarafından hızlı ve kolay erişim sağlaması sebebiyle kullanılmaktadır fakat büyük risk içerdiği geçtiğimiz yıllarda gerçekleşen saldırılarda da kendini göstermiştir. Fidye saldırılarında da aktif olarak kullanılmaktadır hatta siber korsanlar piyasada açık olan ve kullanıcı adı parolasına sahip oldukları RDP giriş bilgilerini ortalama $ 3 ile $ 70 arası satmaktadır. FBI yaptığı araştırmalarda göstermiştir ki fidye saldırılarına yol açan ihlallerin ortalama %70 - %80 i RDP kaynaklıdır. Bilinen birçok fidye yazılım grupları sadece RDP üzerinden kurumların iç ağlarına erişim saldırıları gerçekleştirmektedir. UAS üzerinde yapılan incelemelerde büyük bir ağın oluştuğu, burada satışa çıkarılmış RDP sunucuların, canlı olup olmadığı, bilgilerin güncel olup olmadığı, CPU, lokasyon, versiyon bilgisi, Download ve Upload Hızı gibi sunucular hakkında derinlemesine ve detaylı bilgi içermektedir. Bu platforma sızan güvenlik araştırmacılarının verdiği bilgilere göre 2018 'in sonundan bu yana 1.379.609 RDP hesabı, IP adresleri kullanıcı adı ve parola bilgilerini topladılar. Bazı istatistikleri de burada paylaşacağız: Yaklaşık 63 ülkeden devlet kurumları dahil birçok kuruma ait bilgi bulunmaktadır. En çok erişim bilgisi bulunan RDP sunucu lokasyonları Amerika Birleşik Devletleri, Çin, Brezilya, Almanya, Hindistan ve Birleşik Krallık'tır. Son 2 yılda fidye saldırısına uğramış birçok büyük kuruluş bilgileri de bu listede yeralmaktadır. RDP sunucu bilgisi en fazla sağlık sektöründen kuruluşları içermektedir. En çok kullanılan kullanıcı adları; 'Administrator', 'Admin', 'User', 'test', ve 'scanner' En çok kullanılan parolalar; '123456', '123', 'P@ssw0rd', '1234', ve 'Password1'.

Pandemi En Çok VPN'leri Etkiledi.

Saldırganlar pandemi sürecinde kurumların aktif olarak kullandığı VPN sistemleri hedefledi ve kurumsal ağlara sızma yolları olarak VPN zafiyetlerini kullanmaya başladı. Geçtiğimiz haftalarda Pulse Secure VPN sistemleri üzerinde keşfedilen zafiyetler kısa sürede siber saldırganlar tarafından kullanılmaya başlandı. Araştırmalar gösteriyor ki Pulse Secure VPN sistemleri için hali hazırda aktif olarak kullanılan 12 zararlı yazılım ailesi mevcut. VPN sistemlerindeki zafiyetlerden dünya üzerinde on binlerce kuruluşun etkilendiği düşünülmektedir. Açığa çıkan zafiyetler her ne kadar yamalanmış olsa da, yamayı uygulayan kuruluş sayısı çok azdır, bu ve benzeri büyük çaplı saldırılarda genellikle yaması çıkmış olmasına rağmen, yama yapılmamış sistemlerin kullanılmasıdır. Bu risk her geçen gün artmakta ve ülkelerin de özel ve kamu birçok kuruluşunu zor durumda bırakmaktadır. ABD'de mahkeme özel kuruluşlar dahil FBI'ya tespit edilen zafiyetli sistemlere gerekli yamayı uygulama yetkisi vermiştir. Pandemiyle kullanımı yoğun olarak artan VPN sistemleri, zafiyet çıktığında yama uygulanması gereken ilk sistemler arasında yer almaya başladı, eğer sizler için ilk sıralarda değilse, bu konuda acil olarak kurumunuzdaki güvenlik politikalarını güncellemenizi öneririz.