tina security etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
tina security etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

28 Mart 2024

Siber Güvenlik Bülteni - Mart 2024

 

Bültenimizin Mart Ayı konu başlıkları; 
    • Lockbit, Saldırılarına Tekrar Başladı
    • QNAP NAS Cihazlarında Kritik Hata
    • Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı
    • Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor
    • FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

    Lockbit, Saldırılarına Tekrar Başladı

    LockBit fidye yazılımı çetesi, geçen ay yapılan uluslararası yasal müdahaleden sonra, güncellenmiş şifreleyiciler kullanarak yine saldırılar düzenlemeye başladı.

    NCA, FBI ve Europol'un LockBit fidye yazılımı operasyonu 'Operasyon Cronos' adı verilen koordineli bir müdahale ile geçen ay gerçekleştirilmişti.

    Bu operasyon kapsamında, yasal yetkililer altyapıyı ele geçirirken, şifre çözücüler kurtarıldı ve fidye yazılımı çetesinin veri sızıntısı sitesi, polis tarafından basın portalına dönüştürüldü. Bunun üzerine kısa bir süre sonra LockBit yeni bir veri sızıntısı sitesi kurdu ve FBI'a hitaben uzun bir not bıraktı; burada yasal yetkililerin sunucularına bir PHP hatası kullanarak sızdığını iddia etti.

    Yeniden markalaşmak yerine, operasyon genelinde saldırılardan kaçınmak ve şifre çözücülere erişimi engellemek için güncellendirilmiş altyapı ve yeni güvenlik mekanizmalarıyla geri döneceklerini de açıkladılar. LockBit'in yeni altyapıları için yeni veri sızıntısı ve müzakere siteleri kurarak saldırılarına devam ettiği görünüyor.

    Zscaler tarafından ilk olarak bildirildiği gibi, fidye yazılımı çetesi, şifreleyicilerin fidye notlarını yeni altyapılarında Tor URL'leriyle güncelledi. Güncellenmiş fidye notlarını içeren örneklerin VirusTotal'e yüklendiği de doğrulandı.

    LockBit kapatıldığında, fidye yazılımı operasyonunun yaklaşık 180 ortağı vardı. Kaçının hala Hizmet Olarak Fidye Yazılımı (RaaS) ile çalıştığı bilinmiyor. Ancak, LockBit şimdi deneyimli pentester'ları tekrar operasyonlarına katılmaya aktif olarak davet ediyor ve bu çağrı muhtemelen gelecekteki saldırıların artmasına neden olacaktır. LockBit'in yavaşça silinip Conti gibi yeniden markalaşma planının bir parçası olup olmadığı henüz bilinmiyor. Ancak şu anda, LockBit'in hala bir tehdit olmaya devam ettiği dikkate alınmalıdır.

    Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    QNAP NAS Cihazlarında Kritik Hata

    QNAP, QTS, QuTS hero, QuTScloud ve myQNAPcloud dahil NAS yazılım ürünlerinde bulunan ve saldırganların cihazlara erişmesine izin verebilecek güvenlik açıklarına dikkat çekiyor.

    NAS cihazı üreticisi QNAP, bir kimlik doğrulama atlatması, komut enjeksiyonu ve SQL enjeksiyonuna yol açabilen üç açığı açıkladı.

    Son iki açık, saldırganların hedef sistemde kimlik doğrulaması yapmalarını gerektirse de, riski önemli ölçüde azaltırken, bildirilen ilk açık (CVE-2024-21899) kimlik doğrulaması olmadan uzaktan yürütülebilir ve "düşük karmaşıklık" olarak bildirilmiştir.

    Düzeltilen üç zafiyet ise şunlardır:

    CVE-2024-21899: Uygun olmayan kimlik doğrulama mekanizmaları, yetkisiz kullanıcıların ağı kullanarak sistemin güvenliğini tehlikeye atmasına izin verir (uzaktan).
    CVE-2024-21900: Bu güvenlik açığı, kimlik doğrulama yapılmış kullanıcılara, ağı kullanarak sistemde keyfi komutlar yürütme olanağı sağlayabilir ve bu da yetkisiz sistem erişimine veya kontrolüne yol açabilir.
    CVE-2024-21901: Bu zafiyet, kimlik doğrulama yapılmış yöneticilerin ağı kullanarak kötü amaçlı SQL kodu enjekte etmesine olanak tanıyabilir ve bu da veritabanı bütünlüğünü tehlikeye atabilir ve içeriğini manipüle edebilir.

    Bu zafiyetler, QNAP'ın QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x ve myQNAPcloud 1.0.x hizmetlerinin çeşitli sürümlerini etkiler.

    Bu üç zafiyeti barındıran, aşağıdaki sürümler için yükseltme yapılması önerilir:

    QTS 5.1.3.2578 yapı 20231110 ve sonrası
    QTS 4.5.4.2627 yapı 20231225 ve sonrası
    QuTS hero h5.1.3.2578 yapı 20231110 ve sonrası
    QuTS hero h4.5.4.2626 yapı 20231225 ve sonrası
    QuTScloud c5.1.5.2651 ve sonrası
    myQNAPcloud 1.0.52 (2023/11/24) ve sonrası

    QTS, QuTS hero ve QuTScloud için, kullanıcıların yönetici olarak giriş yapması, 'Kontrol Paneli > Sistem > Yazılım Güncelleme'ye gitmesi ve 'Güncellemeleri Kontrol Et'i tıklaması gerekmektedir.

    myQNAPcloud'u güncellemek için, yönetici olarak giriş yapın, 'Uygulama Merkezi'ni açın, arama kutusuna tıklayın ve "myQNAPcloud" yazın ve ENTER basın. Güncelleme sonuçlarda görünmelidir. Güncellemeyi başlatmak için 'Güncelle' düğmesine tıklayın.

    NAS cihazları genellikle veri hırsızlığı ve şantaj amacıyla hedef alınır. Önceki QNAP cihazlarını hedef alan bazı fidye yazılımları operasyonları DeadBolt, Checkmate ve Qlocker'dır. Bu gruplar, bazen tamamen yamalı cihazlara sızmak için sıfır gün saldırılarını kullanarak NAS kullanıcılarına karşı birçok saldırı dalgası başlatmıştır. NAS sahipleri için en iyi tavsiye, yazılımlarını her zaman güncel tutmaktır ve bu tür cihazları İnternet'e açmamaktır. Eğer İnternet'e açmaları gerekiyorsa;

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı

    Cisco,  Secure Client adlı kurumsal VPN uygulamasındaki iki yüksek dereceli açığın yamalarını duyurdu.

    İlk zafiyet, CVE-2024-20337 olarak izlenen, Linux, macOS ve Windows sürümlerini etkileyen Secure Client'a ilişkindir ve kimlik doğrulama olmaksızın uzaktan, taşıma satırı besleme (CRLF) enjeksiyonu saldırılarında kullanılabilir.

    Kullanıcı tarafından sağlanan girişin yetersiz şekilde doğrulanması nedeniyle, VPN oturumu oluştururken bir kullanıcıyı hileli bir bağlantıya tıklamaya ikna eden bir saldırgan, kurbanın tarayıcısında keyfi komut dosyalarını yürütebilir veya SAML tokenleri gibi hassas bilgilere erişebilir.

    Cisco'un açıklamasına göre, yalnızca SAML Dış Tarayıcı özelliğiyle yapılandırılmış VPN baş ucu olan Secure Client örnekleri savunmasız durumdadır. Üretici, güvenlik açığını Secure Client sürümleri 4.10.08025 ve 5.1.2.42 ile giderdiğini belirtmiştir. Sürüm 4.10.04065'ten önceki sürümlerin ise savunmasız olmadığı ile ayrıca 5.0 sürümü için yamaların mevcut olmadığı belirtilmiştir.

    İkinci yüksek ciddiyetli hatada, CVE-2024-20338 olarak izlenen, yalnızca Linux için Secure Client'i etkiler ve başarılı bir saldırı için kimlik doğrulama gerektirir. VPN uygulamasının 5.1.2.42 sürümünde ise bu hatanın düzeltildiği belirtilmiştir.

    Üretici "Bir saldırgan, kötü niyetli bir kitaplık dosyasını dosya sisteminde belirli bir dizine kopyalayarak ve bir yöneticiyi belirli bir işlemi yeniden başlatmaya ikna ederek bu açığı kullanabilir. Başarılı bir saldırı, saldırganın kök ayrıcalıklarına sahip etkilenen bir cihazda keyfi kod yürütmesine izin verebilir," diye belirtiyor.

    Cisco ayrıca AppDynamics Controller ve Duo Authentication for Windows Logon ve RDP'de birden fazla orta ciddiyetli hata için yamalar duyurdu, bu da veri sızıntılarına ve ikincil kimlik doğrulama atlamalarına neden olabilir.

    Küçük İşletme 100, 300 ve 500 AP'lerindeki diğer iki orta ciddiyetli zafiyet ise yamalanmayacak, çünkü bu ürünler ömürlerini tamamlamış durumda (EoL). Ayrıca üretici, bu açıkların hiçbirinin şu anda gerçek dünyada istismar edilmediği yorumunu belirtiyor.

    Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor

    Çinli siber tehdit aktörleri, son dönemde Ivanti Connect Secure VPN'deki açıkları hedef alarak saldırılarını sürdürüyor ve saldırılarında kalıcılık sağlamak için yeni geliştirilen kötü amaçlı yazılımları kullanıyorlar.

    Bu açıklar, Volexity'nin üç hafta kadar önce Çinli tehdit aktörlerinin iki tanesini sıfır gün olarak kullandığı uyarısının ardından, 31 Ocak'ta ele alındı.

    Bir hafta kadar sonra, Ivanti, kurumsal VPN ve ağ erişim ürünlerinde beşinci bir açığı yamaladı. Bu açıkların kanıtı olarak sunulan kodlar hızla yayımlandı ve saldırganlar bunları hemen sömürmeye başladılar.

    Yama dağıtımından sonra, saldırganlar, Ivanti'nin kurumsal VPN ve ağ erişim cihazlarında SAML bileşeninde bulunan bir sunucu tarafından istek sahteciliği (SSRF) açığı olarak tanımlanan ve CVE-2024-21893 olarak bilinen bir açığı sömürmeye devam ettiler.

    UNC5325 olarak tanımlanan Çinli bir tehdit aktörü, CVE-2024-21893'ü sömürmek için LittleLamb.WoolTea, PitStop, Pitdog, PitJet ve PitHook gibi yeni kötü amaçlı yazılım ailelerini dağıtmak için gözlemlendi.

    Kod örtüşmelerine dayanarak, UNC5325'in önceden savunmasız VMware ürünlerini hedef alan Çinli siber casusluk grubu UNC3886 ile ilişkilendirildiği belirlendi.

    UNC3886ABD ve APJ bölgelerindeki savunma endüstriyel tabanı, teknoloji ve telekomünikasyon organizasyonlarını hedef aldı. UNC5325'in, Ivanti'nin ürünlerindeki bir komut enjeksiyonu olan CVE-2024-21887 ve CVE-2024-21893'ü birleştirmeye devam ettiği gözlemlendi.

    İlk erişim sağlandıktan sonra, saldırganlar keşif yapmış ve ters kabuk kurmuşlardır.

    Saldırganların cihazdan keyfi dosyaları okumalarına izin veren ve Ivanti'nin yerleşik sistem yardımcı programlarını kullanarak tespit edilmeyi önlemek için "cihazın incelikli bir anlayışını" gösteren bir web kabuğunun bir türevi olan BushWalk adlı bir web kabuğunu kullandıkları görüldü.

    Bazı durumlarda, saldırganlar SparkGateway eklentilerini geri kapılar dağıtmak ve paylaşılan nesneleri kalıcı olarak enjekte etmek için kullandılar. SparkGateway, Ivanti'nin VPN cihazının meşru bir bileşenidir ve uzaktan erişim sağlar.

    Bu SparkGateway eklentilerinden biri olan PitFuel adlı bir eklenti, LittleLamb.WoolTea adlı paylaşılan nesneyi yüklemek için kullanıldı, ancak kalıcılık denemeleri başarısız oldu.

    İkinci kötü amaçlı SparkGateway eklentisi olan PitDogPitHook adlı paylaşılan nesneyi belleğe enjekte ederken ve geri kapı olan PitStop'u sürekli olarak yürütürken görüldü. PitStop, komutları yürütebilir ve değiştirilmiş cihazda dosya okuyabilir ve yazabilir.

    UNC5325'in TTP'leri ve kötü amaçlı yazılım dağıtımı, sıfır günlerle birlikte kenar altyapısına karşı şüpheli Çin-nexus casusluk aktörlerinin kullandığı yetenekleri sergiliyor. UNC5325'in, Ivanti Connect Secure cihazının önemli bir bilgi birikimine sahip olduğu ve fabrika sıfırları sırasında kalıcı olma girişimlerinde görüldüğü belirtiliyor.

    FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

    Fortinet, FortiOS, FortiProxy ve FortiClientEMS'deki kritik kod yürütme açıklarını gidermek için güvenlik güncellemelerini yayınladı.

    İlk zafiyet, CVE-2023-42789 olarak izlenen bir sınır dışı yazma sorunudur (CVSS puanı 9.3). Bu, hassas HTTP istekleri gönderilerek yetkisiz kod veya komutların yürütülmesine olanak tanıyan bir açıktır.

    Bu zafiyet, Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

    Üretici ayrıca, özel olarak oluşturulmuş HTTP istekleri aracılığıyla yetkisiz kod veya komutların yürütülmesine olanak tanıyan yüksek dereceli bir yığın tabanlı tampon taşma zafiyetini de ele almıştır. Bu zafiyet, CVE-2023-42790 olarak izlenmektedir (CVSS puanı 8.1).

    Bu zafiyet de Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

    Güvenlik üreticisi ayrıca, DAS bileşenindeki önemli bir yaygın SQL enjeksiyon sorununu da ele almıştır. Bu zafiyet, CVE-2023-48788 olarak izlenmektedir (CVSS puanı 9.3).

    "Şekillendirilmiş istekler aracılığıyla yetkisiz kod veya komutların yürütülmesine izin verebilecek bir SQL Enjeksiyonu açığı [CWE-89] FortiClientEMS'de bir güvenlik açığı oluşturabilir." şeklinde açıklamada bulunulmuştur.

    Bu zafiyetten etkilenen sürümler ve bu sorunu ele alan sürümler aşağıda belirtilmiştir:

    Sürüm                        Etkilenen             Çözüm
    FortiClientEMS 7.2     7.2.0 ile 7.2.2        7.2.3 veya üstüne yükseltme yapın
    FortiClientEMS 7.0     7.0.1 ile 7.0.10      7.0.11 veya üstüne yükseltme yapın


    Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    29 Ocak 2024

    Siber Güvenlik Bülteni - Ocak 2024

     

    Bültenimizin Ocak Ayı konu başlıkları; 

      • Ivanti Connect Secure Sıfırıncı Gün Zafiyeti
      • GoAnywhere MFT Auth Bypass
      • 2023 Yılının Popüler Siber Saldırıları
      • Tarihin En Büyük Veri Sızıntısı

      Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

      Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı.

      İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir.

      Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler.

      Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi.

      Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor.

      Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir.

      Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor.

      2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı.

      Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir).

      Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır.

      Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      GoAnywhere MFT Auth Bypass

      Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor.

      CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir.

      Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi.

      7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler.

      Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir.

      CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi.

      Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor.

      Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir.

      CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      2023 Yılının Popüler Siber Saldırıları

      Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor.

      Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar:
      • Yöntemlerini otomatikleştirmek
      • Yöntemlerini geliştirmek
      • Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır.

      Siber Saldırı Türlerinin Genel Olarak Bilinenleri:
      • Kötü Amaçlı Yazılım (Malware)
      • Kimlik Avı (Phishing)
      • Servis Dışı Bırakma (DoS)
      • Dağıtık Servis Dışı Bırakma (DDoS)
      • Orta Adam Saldırısı (MitM)
      • SQL Enjeksiyonu
      • Cross-Site Scripting (XSS)
      • Zero-Day Saldırıları
      • Gelişmiş Kalıcı Tehditler (APTs)
      • Fidye Yazılımları (Ransomware)
      • IoT (Nesnelerin İnterneti) Sömürüsü
      Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir.

      Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]
       

      Tarihin En Büyük Veri Sızıntısı

      Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor.

      Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi.

      26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir.

      Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor.

      Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır.
      Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir.

      Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler.

      Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler.

      Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      29 Aralık 2023

      Siber Güvenlik Bülteni - Aralık 2023

       

      Bültenimizin Aralık Ayı konu başlıkları; 
        • Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler
        • MongoDB'de Veri Sızıntısı
        • İsrail - İran Siber Savaş
        • Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

        Birleşik Krallık merkezli siber güvenlik firması SophosEOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu.

        Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti.

        Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor.

        Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor.

        Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur.

        Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor.

        6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır.

        Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı.

        Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        MongoDB'de Veri Sızıntısı

        MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor.

        MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor.

        "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor:

        "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ."

        Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor.

        Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir.

        Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor.

        Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar.

        Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        İsrail - İran Siber Savaş

        Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor.

        İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor.

        Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti.

        İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti.

        Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor.

        Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti.

        "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı.

        Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti.


        Neden Yapıldı?
        Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi.

        Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]
         

        Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor.

        Sektörel Hedeflenme ve Artan Tehditler:

        Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor.

        Öne Çıkan Tehdit Aktörleri:

        LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor.

        Bölgesel Dağılım ve Avrupa'daki Artış:

        Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor.

        Carbanak'ın Geri Dönüşü:

        Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı.

        Önemli Uyarı ve Öneriler:

        2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir.

        Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar