tina siber saldiri algilama ve engelleme sistemi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
tina siber saldiri algilama ve engelleme sistemi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

29 Şubat 2024

Siber Güvenlik Bülteni - Şubat 2024

 

Bültenimizin Şubat Ayı konu başlıkları; 
    • Fortinet Kritik Zafiyetler
    • QNAP Sıfırıncı Gün Zafiyeti
    • AnyDesk Hacklendi
    • Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Fortinet Kritik Zafiyetler

    Fortinet, FortiOS ve FortiSIEM zafiyetleri için uyardı.

    Fortinet, FortiSIEM'de bulunan ve uzaktan saldırganların keyfi kod çalıştırmasına izin verebilecek iki kritik işletim sistemi komut enjeksiyonu açığına dikkat çekiyor.

    Fortinet'in yayınladığı bir bildirime göre, CVE-2024-23108 ve CVE-2024-23109 (CVSS puanı 10) olarak izlenen bu iki kritik açık, uzaktan kod yürütme riski taşıyor.

    Etkilenen ürünler;
    FortiSIEM sürüm 7.1.0 ile 7.1.1 arası
    FortiSIEM sürüm 7.0.0 ile 7.0.2 arası
    FortiSIEM sürüm 6.7.0 ile 6.7.8 arası
    FortiSIEM sürüm 6.6.0 ile 6.6.3 arası
    FortiSIEM sürüm 6.5.0 ile 6.5.2 arası
    FortiSIEM sürüm 6.4.0 ile 6.4.2 arası

    Düzeltilmiş Sürümler;
    FortiSIEM sürüm 7.1.3 veya üstü
    FortiSIEM sürüm 7.0.3 veya üstü
    FortiSIEM sürüm 6.7.9 veya üstü
    Gelecek FortiSIEM sürüm 7.2.0 veya üstü
    Gelecek FortiSIEM sürüm 6.6.5 veya üstü
    Gelecek FortiSIEM sürüm 6.5.3 veya üstü
    Gelecek FortiSIEM sürüm 6.4.4 veya üstü

    Söz konusu açıkların istismar edilmesi durumunda, uzaktan kimlik doğrulama gerektirmeyen bir saldırganın sistemde komut çalıştırmasına izin verilebilir. Mümkün olan en kısa sürede güncelleme yapılması önerilir.

    İki sorun, Ekim 2023'te ele alınan CVE-2023-34992 (CVSS puanı 9.8) adlı bir güvenlik açığı ile ilişkilendirilmiştir.

    CVE-2023-34992 açığı, Fortinet FortiSIEM sürüm 7.0.0 ve 6.7.0 ile 6.7.5 arası ve 6.6.0 ile 6.6.3 arası ve 6.5.0 ile 6.5.1 arası ve 6.4.0 ile 6.4.2 arası sürümlerinde bulunan bir işletim sistemi komut enjeksiyonu (‘os komut enjeksiyonu’) hatasıdır. Saldırgan, bu hatayı kullanarak özel olarak oluşturulan API istekleri aracılığıyla yetkisiz kod veya komutları yürütebilir.

    Fortinet, FortiOS SSL VPN'de yeni bir kritik uzaktan kod yürütme açığının saldırılarda potansiyel olarak kullanıldığı konusunda uyarıyor.

    Bu açık CVE-2024-21762 9.6 ciddiyet derecesine sahiptir ve FortiOS'ta bir sınır dışı yazma güvenlik açığıdır. Bu açık, kimlik doğrulaması yapılmamış saldırganların kötü niyetli olarak oluşturulmuş istekler aracılığıyla uzaktan kod yürütmesine (RCE) izin verir.

    Bu hatayı düzeltmek için, Fortinet en son sürümlerden birine yükseltmeyi önermektedir:

    Etkilenen ürünler;:
    FortiOS sürüm 7.4.0 ile 7.4.2 arası
    FortiOS sürüm 7.2.0 ile 7.2.6 arası
    FortiOS sürüm 7.0.0 ile 7.0.13 arası
    FortiOS sürüm 6.4.0 ile 6.4.14 arası
    FortiOS sürüm 6.2.0 ile 6.2.15 arası
    FortiOS sürüm 6.0 tüm sürümler


    Düzeltilmiş Sürümler;
    FortiOS sürüm 7.4.3 veya üstü
    FortiOS sürüm 7.2.7 veya üstü
    FortiOS sürüm 7.0.14 veya üstü
    FortiOS sürüm 6.4.15 veya üstü
    FortiOS sürüm 6.2.16 veya üstü

    Güncellemeleri uygulayamayanlar için, Fortinet, FortiOS cihazlarınızda SSL VPN'yi devre dışı bırakarak bu hatayı hafifletebileceğinizi belirtiyor.

    Fortinet'in bildirimi, açığın nasıl istismar edildiği veya açığı kimin keşfettiği konusunda herhangi bir ayrıntı sağlamıyor.

    Bu güvenlik açığı, bugün CVE-2024-23113 (Kritik/9.8 derecelendirme), CVE-2023-44487 (Orta), ve CVE-2023-47537 (Orta) ile birlikte duyuruldu. Ancak, bu hataların henüz sahada istismar edilmediği belirtiliyor.

    Siber tehdit aktörleri genellikle Fortinet hatalarını hedef alarak kurumsal ağlara sızıyor ve fidye yazılımı saldırıları ve siber casusluk faaliyetleri gerçekleştiriyor.

    Dün, Fortinet, Çin devlet destekli tehdit aktörlerinin FortiOS açıklarını hedef alarak COATHANGER olarak bilinen özel kötü amaçlı yazılımı dağıtmak için saldırılarını gerçekleştirdiğini açıkladı.

    Bu kötü amaçlı yazılım, Fortigate ağ güvenlik cihazlarını enfekte etmek için tasarlanmış özel bir uzaktan erişim truva atı (RAT) ve son zamanlarda Hollanda Savunma Bakanlığı'na yönelik saldırılarda kullanıldığı tespit edildi.

    Yeni açıklanan CVE-2024-21762 hatasının yüksek ciddiyeti ve saldırılarda kullanılma olasılığı göz önüne alındığında, cihazlarınızı mümkün olan en kısa sürede güncellemeniz kesinlikle önerilir.

    Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    QNAP Sıfırıncı Gün Zafiyeti

    Geçen hafta, QNAP, QTS, QuTS hero ve QuTScloud ürünlerindeki çeşitli güvenlik açıklarının düzeltildiği bir güvenlik bülteni yayınladı.

    Bu açıklar, CVE-2023-47218 ve CVE-2023-50358 olarak atandı. Bu açıkların ciddiyeti 5.8 (Orta) olarak belirtildi. Ancak, toplamda 289.665 savunmasız cihazın, tehdit aktörleri tarafından potansiyel olarak istismar edilebilir olduğu keşfedildi.

    Bu cihazlar çoğunlukla Almanya, ABD, Çin, İtalya, Japonya, Tayvan, Fransa ve birkaç diğer ülkede bulunuyordu.

    QNAP 0-Gün açığı kimlik doğrulaması gerektirmeyen QNAP QTS firmware'inin quick.cgi bileşeninde bulunan bir komut enjeksiyonu ile ilişkilendirilmiştir.
    quick.cgi istek işleyicisi, HTTP parametresi todo=set_timeinfo ayarlandığında, SPECIFIC_SERVER parametresinin değerini /tmp/quick/quick_tmp.conf adlı yapılandırma dosyasına NTP Adresi adı altında kaydeder.
    Bunun ardından, quick.cgi bileşeni, komut satırı yürütmesinin gerçekleştiği ntpdate yardımcı programı ile zaman senkronizasyonunu başlatır.
    Bu yardımcı program, quick_tmp.conf dosyasındaki NTP Adresini okur ve sonra system() kullanılarak yürütülür.
    Bu, güvensiz bir girişin SPECIFIC_SERVER parametresine sağlanması durumunda, girişin system() aracılığıyla geçirilerek ve yürütülerek, savunmasız cihazda keyfi bir komutun yürütülmesiyle sonuçlanır.

    Korunma Yöntemi
    Bu zafiyetin önlenmesi için, kullanıcılar aşağıdaki adımları izleyebilir:
    • Tarayıcıda şu URL'yi test edin: https://<NAS IP adresi>:<NAS sistem portu>/cgi-bin/quick/quick.cgi
    • Eğer HTTP 404 Hatası alıyorsanız, cihaz savunmasız değildir. Eğer "Sayfa Bulunamadı" veya "Web sunucusu şu anda kullanılabilir değil" mesajını alıyorsanız, cihazda zafiyet olma olasılığı vardır.
    • Eğer HTTP 200 yanıtı ile boş bir sayfa alıyorsanız, aşağıdaki adımlar önerilir:
    İşletim sistemini aşağıdaki sürümlerden birine veya daha yeni bir sürüme güncelleyin:
    QTS 5.0.0.1986 sürümü 20220324 veya daha sonrası
    QTS 4.5.4.2012 sürümü 20220419 veya daha sonrası
    QuTS h5.0.0.1986 sürümü 20220324 veya daha sonrası
    QuTS h4.5.4.1991 sürümü 20220330 veya daha sonrası
    • Tarayıcıda aynı URL'yi yeniden test edin. Eğer sonuç HTTP 404 hatası ise, cihaz güvende demektir.
    • Eğer HTTP 200 yanıtı hala devam ediyorsa, QNAP teknik desteği ile iletişime geçilmesi tavsiye edilir.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    AnyDesk Hacklendi

    AnyDesk, uzak masaüstü erişim yazılımı geliştirici Alman şirketi, üretim sistemlerinin bir siber saldırıya maruz kaldığını ve bu saldırının şirketin üretim sistemlerini etkilediğini duyurdu.

    Şirket, bir güvenlik denetimi sonrasında keşfedilen bu olayın bir fidye yazılımı saldırısı olmadığını belirtti ve ilgili makamlara bildirimde bulunduğunu açıkladı.

    Şirket "Tüm güvenlikle ilgili sertifikaları iptal ettik ve gerekli durumlarda sistemleri düzelttik veya değiştirdik," açıklamasında bulundu.

    Tedbir amaçlı olarak, AnyDesk tüm web portalı, my.anydesk[.]com, şifrelerini iptal etti ve kullanıcıların, aynı şifreleri başka çevrimiçi hizmetlerde kullanmışlarsa şifrelerini değiştirmelerini tavsiye etti.

    Ayrıca, kullanıcıların en son yazılım sürümünü indirmelerini önerdi ve bu sürüm yeni bir kod imzalama sertifikasıyla birlikte geliyor.

    AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı. Şu anda, hacklemenin ardından herhangi bir bilginin çalınıp çalınmadığı bilinmiyor. Ancak, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt olmadığını vurguladı.

    AnyDesk, Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales dahil olmak üzere 170.000'den fazla müşteriye sahip olduğunu iddia ediyor.

    AnyDesk müşteri bilgileri bazı platformlarda satılmaya başlandı ve tehdit aktörünün 18.317 hesabı 15.000 dolarlık kripto para birimi karşılığında satışa çıkardığını ve bir anlaşmayı siber suç forumunda kabul ettiğini söyledi.

    Özellikle, aktör tarafından paylaşılan ekran görüntülerindeki zaman damgaları, 3 Şubat 2024 tarihli başarılı izinsiz erişimi göstermektedir ve müşterilerin tümünün erişim kimlik bilgilerini değiştirmemiş olabileceği veya etkilenen tarafların bu mekanizmanın hala devam ediyor olabileceğini de unutmamak gerekiyor.

    AnyDesk, siber saldırı sonrası tüm araç sürümlerinin güvenli olduğunu ve müşterilere sürüm 7.0.15 ve 8.0.8'i indirmelerini önerdiğini belirtti.

    Şirketin yayınladığı ayrı bir SSS bölümüne göre, olayın Ocak 2024'ün ortalarında meydana geldiği ve şirketin bu olayı takiben bir güvenlik denetimi yaptığı, sonuç olarak üretim sistemlerinin tehlikede olduğuna dair kanıtlar bulduğu ifade edildi.

    Ayrıca, kaynak koduna herhangi bir kötü niyetli değişiklik yapıldığını veya müşterilere herhangi bir AnyDesk sistemi aracılığıyla kötü amaçlı kod dağıtıldığını görmediklerini vurguladı.

    AnyDesk, kullanıcı kimlik bilgilerinin karanlık web üzerinde satılmasına dair raporların doğrudan olayla ilgili olmadığını zararlı yazılımlarla enfekte olmuş kullanıcı bilgileri olabileceğini belirtti.

    Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Mercedes-Benz'in iç GitHub Enterprise Servisi'ne sınırsız erişim sağlayan bir GitHub belirteci yanlış yönetildi ve şirketin kaynak kodunu kamuya açık hale getirdi.

    Mercedes-Benz, yenilik, lüks tasarımlar ve üstün yapı kalitesi ile tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir.

    Marka, güvenlik ve kontrol sistemleri, bilgi eğlence, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik, elektrikli güç ve batarya yönetimi (Evler için) gibi araçlarında ve hizmetlerinde yazılım kullanmaktadır.

    2023 yılının 29 Eylül'ünde araştırmacılar, bir Mercedes çalışanına ait kamuya açık bir depoda bulunan bir GitHub belirtecini keşfetti ve bu belirtecin şirketin iç GitHub Enterprise Sunucusuna erişim sağladığını belirtti.

    Bu olay hassas depoların ortaya çıkmasına ve bu depolarda veritabanı bağlantı dizeleri, bulut erişim anahtarları, şematikler, tasarım belgeleri, SSO parolaları, API anahtarları ve diğer kritik iç bilgilerin bulunması nedeniyle ciddi sonuçlara yol açtı.

    Araştırmacıların açıkladıkları gibi, bu verilerin kamuoyuna açık hale gelmesinin sonuçları ciddi olabilir. Kaynak kodu sızıntıları, rakiplerin tescilli teknolojileri tersine mühendislik yapmasına veya hackerların araç sistemlerinde potansiyel zayıflıkları aramasına neden olabilir. Ayrıca, API anahtarlarının ortaya çıkması, yetkisiz veri erişimi, hizmet kesintileri ve şirket altyapısının kötü amaçlar için kötüye kullanılmasıyla sonuçlanabilir.

    Araştırmacılar, Mercedes-Benz'e belirteç sızıntısını 22 Ocak 2024'te bildirdi ve iki gün sonra bunu iptal etti, bu da bu belirtece sahip olan ve kötüye kullanan kişilere erişimi engelledi.

    Bu olay, Japon otomobil üreticisi Toyota'nın Ekim 2022'de yaşadığı bir güvenlik hatasına benziyor. Toyota, bir GitHub erişim anahtarının açığa çıkmasından dolayı kişisel müşteri bilgilerinin beş yıl boyunca kamuya açık kalmasını açıklamıştı.

    Bu tür olaylar, GitHub Enterprise örneklerinin sahiplerinin genellikle IP adreslerini içeren denetim günlüklerini etkinleştirmeleri durumunda, kötü amaçlı kullanım kanıtlarını oluşturur.

    Mercedes-Benz'in konuya ilişkin açıklaması; 

    "Bir insan hatası nedeniyle, iç erişim belirteci içeren bir kaynak kodu kamuya açık bir GitHub deposunda yayınlandı. Bu belirteç, belirli sayıda depoya erişim sağladı, ancak İç GitHub Enterprise Sunucusunda barındırılan tüm kaynak koda erişim sağlamadı. İlgili belirteci iptal ettik ve hemen kamuya açık depoyu kaldırdık. Müşteri verileri etkilenmediğinden güncel analizimiz gösteriyor. Bu durumu normal süreçlerimize göre analiz etmeye devam edeceğiz."

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    03 Ağustos 2022

    Siber Güvenlik Bülteni - Temmuz 2022

    Bültenimizin Temmuz ayına ait başlıkları; 
      • Bir Milyar Kişinin Verileri Sızdırıldı
      • AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu
      • Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı
      • Sahte İş İlanları Can Yakmaya Devam Ediyor
      • FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

       Bir Milyar Kişinin Verileri Sızdırıldı.

      Veri sızıntı haberlerini neredeyse her gün görmeye başladık. Big Data (büyük veri) kavramıyla birlikte yoğun olarak veriler dijital ortama aktarılmaya başlandı. Bu dijitalleşme esnasında ise veriler yönetilemeyen ve korunamayan bir hale geldi. Bu durumun son vakası da şimdiye kadar en büyük ihlallerden biri olan 1 milyara yakın Çin vatandaşının verilerinin ifşası oldu.
       
      Veri sızıntısının Polis sisteminde tespit edilen bir arka kapı aracılığıyla gerçekleştiği düşünülmektedir. Online olarak yayınlanan veritabanında kullanıcılar istediği kişinin verilerine ulaşabilir hale geldi. Bir hacker forumunda 23 terabayttan fazla verinin de "10 BTC karşılığı satılık" ilanı verilmesi sonucu web sitesi erişime kapatıldı.

      Çalınan veritabanının Şanghay polisi tarafından derlendiği ve veritabanında vatandaş isimleri, adresleri, cep telefonları, ulusal kimlik numaraları, doğum tarihleri ve yerleşim yerlerinin yanı sıra polis ile yapılan telefon görüşmesi kayıtlarının da yer aldığı iddia edildi.

      AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu

      Fidye yazılımı saldırıları ve talep edilen miktarlar artmaya ve boyut değiştirmeye devam ediyor.

      Fidye yazılımı grubu AstraLocker geçtiğimiz ay fidye saldırılarını durdurduğunu ve daha önceki saldırılara ilişkin şifre çözücülerini yayınladığını duyurdu. Artık fidye yazılımları yerine, operasyonlarına kripto hırsızlığı tarafında devam edeceğini açıkladı.

      Daha önce bu tür karar alan gruplara yine şahit olmuştuk, bunların altındaki en büyük neden kolluk kuvvetlerinin yoğun baskılarının ve çalışmalarının olduğunu biliyoruz. Fakat bazı grupların operasyonları durdurma kararı sonrası, ekipten ayrılanların yine farklı gruplar halinde saldırılara devam ettiği de görülmektedir.

      AstraLocker 2.0 adıyla Microsoft Word belgeleri kullanarak oltalama saldırılarıyla karşılaşmıştık. Birçok fidye yazılımı grubu gibi AstraLocker'ın da Monero kullandığı bilinmektedir.

      Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı

      Fortinet çeşitli ürünlerinde çıkan zafiyetler için yama yayınladı. Bu zafiyetlerden etkilenen ürünler; FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder ve FortiVoiceEnterprise.

      Yaması yayınlanan zafiyetlerin 4'ü yüksek önem derecesine sahiptir, bunlar; CVE-2022-26117CVE-2021-43072, CVE-2022-30302 ve CVE-2021-41031'dir.

      Daha öncede Fortinet VPN cihazlarındaki zafiyetler kullanılarak, iç ağa sızılmış ve fidye yazılımı saldırısı gerçekleştirilmiş, birçok şirket mağdur olmuştu.


      Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      Sahte İş İlanları Can Yakmaya Devam Ediyor

      Pandemi dönemiyle birlikte ülkemizde de uzaktan çalışma popüler hale geldi. Pandeminin son günlerde vaka sayılarının azalmasıyla birçok şirket ofislerine dönmeye başladı ve bazı çalışanlar bu durumdan çokta memnun kalmadı ve yeni iş arayışına girmeye başladı.

      Tam da buradaki insan odaklı zafiyeti gören saldırgan gruplar sahte iş ilanları oluşturup, bir başvuru formu gibi PDF olarak görünen zararlı yazılımları göndermeye başladı. Çok iyi ücretler ve imkanlar teklif eden saldırgan gruplar ağına birçok kıdemli çalışanı düşürmeyi başardı. Bu süreçte ağırlıklı kripto para borsalarında çalışanlara gerçekleştirilen saldırılar ile ağa sızan saldırgan gruplar kripto borsalarından milyonlarca dolarlık kripto para çaldılar.

      Ayrıca yapılan açıklamada blok zinciri projelerinin bu tür saldırılar ve zafiyetlerden kaynaklı kaybının yılın ilk altı ayında 2 milyar dolardan fazla olduğu belirtiliyor.

      Benzer saldırıları da yoğun olarak ülkemizde görmekteyiz. Kullanıcıları hedefleyen saldırganların en aktif kullandığı alanlar E-posta, Linkedin ve SMS olarak karşımıza çıkıyor. Kullanıcılara özel olarak hazırlanmış dosyaları veya linkleri paylaşan saldırgan gruplar, bu kullanıcılar aracılığıyla hem kullanıcıları hem de çalıştıkları şirkete sızmaya olanak sağlamış oluyor.

      FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

      Şirketlerin akıllı cihazlara olan ihtiyacı her geçen gün artıyor. Bu cihazlara olan ihtiyaçlar haliyle kurumların dışarı açık başka bir kapı oluşturuyor, bunun için ise birçok kurum cihazların güvenliğini sağlamak adına MDM Cihaz Yönetimi (Mobile Device Management) çözümlerine başvuruyor.  Bu çözümler sayesinde BT ekibi merkezi bir sunucu üzerinden cihazların işletim sistemlerinin, güncellemelerin ve kullanılan uygulamaların yönetilmesine olanak sağlıyor ve şirketler bu şekilde hem cihazları hem de çalışanlarını ve bilgilerini kontrol altına alabiliyor. 

      Geçtiğimiz hafta FileWave'in MDM ürününde iki kritik zafiyet tespit edildi; kimlik doğrulama atlatma zafiyeti (CVE-2022-34907) ve sabit kodlanmış şifreleme anahtarı zafiyeti (CVE-2022-34906). Araştırmalara göre ürünü kullanan büyük işletmeler, eğitim ve devlet kurumları da dahil 1.100'den fazla kurum bu zafiyetlere maruz kaldı ve/veya kalabilir durumda.

      Şirket hızlıca bir güncelleme yayınladı ve kullanıcıların acil olarak sürümlerini güncellemelerini önerdi. Bu tür 3. parti ürünlerin güvenlik amaçlı kullanımı sırasında bir anda bir silaha dönüşebileceğinin farkında olunması ve bu doğrultuda planlama yapılmasının unutulmaması gerekiyor.

      Bu zafiyetler sonucu kurum ağına sızılarak tüm ağda tam yetki tanımı yapılarak ağda istenilen aksiyon alınabilir, bu testlerde ise kanıtlandı ve kurum ağında yetkiyi alan güvenlik uzmanları tüm ağa ransomware bulaştırmayı başardı.

      Geçtiğimiz yıl Kaseya tarafındaki zafiyet aracılığıyla birçok kurum etkilenmiş ve bizlere tekrar 3. parti firmalar ile olan çalışmalarda da ne kadar dikkatli olmamız gerektiğini göstermişti.

      Siber Saldırılara Karşı
      TINA Çözümlerimiz

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      06 Temmuz 2022

      Siber Güvenlik Bülteni - Haziran 2022

       

      Bültenimizin Haziran ayına ait başlıkları; 
        • Fidye Yazılım Grupları Taktik Değiştiriyor
        • VPN Servisleri Dert Açmaya Devam Ediyor
        • 900.000 Kubernetes Kümesi Açığa Çıktı
        • QNAP NAS Cihazları Tekrar Hedef Oldu
        • Tedarikçi Saldırıları Artıyor

        Fidye Yazılım Grupları Taktik Değiştiriyor

        Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


        Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

        ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

        Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

        VPN Servisleri Dert Açmaya Devam Ediyor

        Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

        Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

        Yapılan araştırmalara göre;
        • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
        • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
        • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
        • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
        • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

        900.000 Kubernetes Kümesi Açığa Çıktı

        Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

        Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

        Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

        Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

        QNAP NAS Cihazları Tekrar Hedef Oldu

        Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

        QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

        NAS'ınızı saldırılara karşı koruma yöntemleri;
         

        • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
        • Hesaplarınız için güçlü bir parola oluşturmalısınız.
        • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
        • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
        • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

        Tedarikçi Saldırıları Artıyor

        Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

        Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

        TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

        Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

        Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

        Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

        Siber Saldırılara Karşı
        TINA Çözümlerimiz

        Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        04 Nisan 2018

        Bitcoin Nedir? Bitcoin Güvenlik Önlemleri



        Bitcoin Nedir?


        2009 yılında herhangi bir resmi kuruluşa bağlı olmayan ve bir otoritesinin bulunmadığı, ortaya çıkaran kişi veya kurumun belli olmadığı sanal paradır. Bitcoin, son zamanlarda popülaritesini artıran kripto paraların en popüler olanıdır, bir çok "alt coin" olarak adlandırılan para birimleri (Ripple, Litecoin, Ethereum vs) olmasına rağmen Bicoin’in yeri ve pazarları diğerlerine göre daha büyük bulunmaktadır, son zamanlarda yaşadığı fiyat dalgalanması ile "alt coin"lere olan yatırımlar da ciddiyetini artırmaya devam etmektedir. Unutmamak gerekiyor ki bitcoin 2009 yılında çıkmış, fakat kullandığı blockchain teknolojisi 90 yıllara kadar dayanmaktadır.

        Her geçen gün yatırımcı sayısı artsa da uzmanlar tarafında henüz nasıl bir dalgalanma yapacağını ön görmek mümkün değildir. Pek çok ekonomik göstergeye ve yatırım araçlarına kıyasla Bitcoin genel olarak coin algoritmalarını, sistemlerini ortaya koyan kişi veya grupların kendilerini açık etmemesinden ötürü spekülasyona açık durumda ve tahmin edilmesi güçleşmiş haldedir. Bununla birlikte Bitcoin, belirli algoritmaların işlenmesi sonucunda ortaya çıkan bir sanal paradır, belirli bir matematik çerçevesinde veri madenciliği ile elde edilen kriptolu sonuç denklemi de denilebilir. Ayrıca ilk üretim esnasında kontrolsüz olarak üretilmiş olması, ilk üretenlerin de kontrolünde olduğunu gösteriyor.

        Özetle yalnızca bilgisayar üzerinde depolanabilen bir sanal para olan Bitcoin, aslında içeriği para ile ölçülen bir elektronik veridir. İçeriği dolayısıyla çıktısı kağıda dökülemediğinden, aslında günümüzdeki tüm elektronik veriler gibi, bilgisayar ortamında saklanmakta ve buna bağlı olağan üstü bir sorunu da doğurmuş bulunmaktadır.



        Güvenlik bakış açısıyla ilerleyen kısımlarda bu noktayı tekrar değerlendirmeye alacağız fakat şunu da söylemeden geçmemek lazım, son yıllarda ülkemizde çoğumuzun başına gelmiş ransomware (fidye zararlıları) saldırıları (turkcell efatura, turktelekom online fatura vs) ile talep edilen fidyeler artık yerini fiziksel para yerine sanal paralardaki kazançlara yönlendirdi, Bitcoin'in takibinin güç olması ve aktarımının kolay olması hackerlar tarafından da tercih ediliyor.

        Öyle ki hacker grupları tarafından desteklenen ve üretimi için çalışılan sanal para birimleri mevcut, son zamanlarda yaptığımız araştırmalarda kurumlarda Crpyto Jacking (Sanal para üreten zararlı yazılımlar) saldırılarının arttığını, sistemin performansının tamamen sanal para üretmek için kullanılıyor olmasının birçok bilgi işlem çalışanının ve kurumun iş sürekliliğinin zora soktuğunu tespit edip TINA ile engellemekteyiz.

        Gönülsüz olarak iştirak edenler bir yana, birçok şirketin de yatırım olarak Bitcoin alıp satmanın yanı sıra şirketin donanım yatırımı yaptığını, Bitcoin üretmeye başladığını da görüyoruz.

        Sanal para üretiminin ve blockchain mantığının dağınık yapıda olması ve merkezinin olmaması sebebiyle kullanıcılarına da herhangi bir saldırıda bir bölgede sorun oluştursa bile ayakta kalan sistemler aracılığıyla kendini hızla toplayacağına inanılıyor, bu da yatırımcıların ve takipçilerin güvenini kazanmasına sebep oluyor.


        Gelelim Bitcoin’in doğurduğu büyük soruna! Veri, eski dönemlerde sahibine olan değeri, veya diğer kişilerin bu bilgiye karşı ihtiyacına göre değer kazanıyorken artık Bitcoin, sanal para olarak saklanan veri, herkes için piyasa değeri olan, elden ele kolaylıkla taşınabilen hale geliyor. Sahibine has değerleme metotları olmadığından, aslında cebimizdeki paranın sabit diskimize kaydedilmiş hali olarak herhangi bir bankada değil, sabit disklerimizde saklanıyor!

        Tüm yatırımlarınızı bilgisayarınızda depolayacak kadar cihaz güvenliğinizden emin misiniz? 

        Ya da  Yeteri kadar güvenlik sisteminin bulunmadığı ortak bir sunucuya mı emanet etmeyi tercih edersiniz? 

        Parasal işlemlerimizi yapan ve kanunlar ile korunan bankalarda dahi müşteri verileri çalınırken, hele bir de bu kadar iyi para kazanmışken, nereden geldi şimdi aklımıza bu soru da keyfimiz kaçtı değil mi? :)

        Aslında biz uzmanlar tarafından bakıldığında, Bitcoin de bilgi güvenliği konusundaki önemli verilerin korunması için alınacak önlemler oldukça benzer.

        Bitcoin Güvenliği için Öneriler;
        • Sahip olduğumuz sosyal medya, banka, email hesaplarında kullandığımız 2FA(2 adımlı doğrulama) kullanarak veya Google Authenticator gibi güvenlik doğrulama sistemlerini, Bitcoin cüzdan hesaplarımızda da kullanarak parolalarımızın güvenliğini sağlamış oluruz.
        • Online Bitcoin cüzdanları yerine offline Bitcoin cüzdanları edinerek kontrolün bizde olduğu uygulamalar ile sahip olduğumuz Bitcoinlerin güvenliğini artırabiliriz, ihtiyaç-kullanım halinde ortaya çıkarabiliriz.
        • Bitcoin en büyük dezavantajlarından biri de işlemlerin geri alınamıyor olması, bu yüzden işlem yaptığımız platformların bilinir ve güvenilir olduğundan emin olmalıyız, miktar kontrolü, eş zamanlı tekrar işleme almama gibi noktalarda yüksek meblağ alışverişlerden önce mutlaka ön yargı ile yaklaşmalı, ilgili sistemin bilinirliği, güvenilirliği üzerine araştırmalar yapmalıyız.
        • Bitcoin cüzdanımızı da başka bir uygulama ile şifreleyerek güvenlik katmanımızı artırabiliriz. 
        • Kullandığımız telefon, tablet pc, bilgisayar gibi sistemlerinizde güvenlik yazılımları ile güvenilir ortamlar haline getirmemiz gerekiyor. Önceleri bilgisayarımıza sızan virüsler yerimize email gönderirken artık bizlerin yerine Bitcoin transferleri gerçekleştiriyor! Bu tür işlemlerin geri döndürülmesi, Bitcoin mantığına aykırı ve mümkün değil!
        • Her ne kadar sanal para dahi olsa, sosyal medya üzerinde kampanya vb. oltalama saldırılarına karşı daha dikkatli olun. Gerçek dünyada olduğu gibi, sanal dünyada da kimse kimseye bedava bir şey vermeyeceğini unutmayın. Elon Musk olarak kendi tanıtıp Twitter üzerinden bitcoin dağıtacağını iddia eden kişiye inanların cüzdanlarını boşalttığını unutmayın.
        • "Bitcoin miner" zararlı yazılımlarının giderek artması sebebiyle klasik güvenlik önlemlerinin dışında anti-malware benzeri, dinamik çalışan güvenlik yazılımlarına ve ek güvenlik katmanlarına yönelin. 
        • Özellikle kurumlar, artık veri güvenliğinin sürekli yatırım yapmak anlamına geldiğini unutmamalılar. Yalnızca kendi Bitcoin’ini üretmeye çalışan, mining yapmaya çalışan kişi veya kurumlar değil, bilişim altyapısına sahip herhangi bir kurum; sistemlerine sızılacağının ve farkında olmadan dışarıda başkaları adına Bitcoin üreten zombi makinalar haline gelebileceklerinin farkına varmalı, bu tip internete bağlı ağ trafiklerinin engellenebilmesi için önlem alınması gerektiğini bilmeliler. Dinamik analiz yapan APT engelleme sistemleri, yeni güvenlik yaklaşımlarını takip etmeleri ve kullanmaları gerekmekte. Burada TINA reklamı yapmadan geçemeyeceğiz, TINA Bitcoin mining zararlı yazılımlarını sıfırıncı gün özelliği ile tespit etme ve engelleme konusunda çözüm sunuyor.
        • Bitcoin üretimi yapacak kurum veya kişilerin, güvenlik danışmanlığı alarak kuracakları sunucuların, bilgisayarların ve ağ yapısının bir uzman desteğiyle yeni güvenlik yaklaşımları göz önünde bulundurularak yapılandırılması gerekmektedir.
        • Kullandığını bitcoin cüzdanı yazılımlarınızı sürekli güncel tutun. Unutmayın güncellemeler hayat kurtarır.
        Bitcoin ile birlikte yatırım yapmak isteyen ve yatırım yapan insan sayısı her geçen gün artmaya devam ediyor, şunu unutmamak gerekiyor ki paranın sanal olması güvenliğini daha zor hale getiriyor. 

        Uygulamalara, donanımlara yatırım yaparken bir sabah uyandığınızda cüzdanınızı boş görmek istemiyorsanız güvenliği için de yatırım yapmak gerekiyor.  Güvenli bir muhitte oturmanız, hırsızların tüm dünyaya açık İnternet kapınızdan girmesini engellemiyor.

        Popüler Yayınlar