30 Eylül 2024

Siber Güvenlik Bülteni - Eylül 2024

 

Bültenimizin Eylül Ayı konu başlıkları; 
    • SonicWall SonicOS ve SSLVPN'de Kritik Zafiyet
    • Cisco Meraki Systems Manager (SM) Zafiyeti
    • Microsoft ZeroDay Zafiyetleri
    • Amerika - Arkansas Şehri Su Arıtma Tesislerine Siber Saldırı
    • Kia Hack! – Uzaktan Kontrol Edilebiliyor!

    SonicWall SonicOS ve SSLVPN'de Kritik Zafiyet

    SonicWall, güvenlik araştırmacılarının fidye yazılımı saldırılarında aktif olarak kullanıldığını belirttiği kritik bir güvenlik açığını gidermeleri için müşterilerine güvenlik duvarlarını güncellemeleri çağrısı yaptı.

    CVSS 9.3 olarak derecelendirilen güvenlik açığı (CVE-2024-40766), firma tarafından ilk olarak 22 Ağustos'ta yayımlandı, 6 Eylül'de yapılan bir güncellemede ise açığın aktif olarak istismar edildiğini belirtti.

    SonicWall SonicOS yönetim erişimi ve SSLVPN’de, yetkisiz kaynak erişimine ve belirli koşullarda güvenlik duvarının çökmesine yol açabilecek uygunsuz bir erişim kontrolü güvenlik açığı tespit edildi.

    Bu sorun, SonicWall Gen 5 ve Gen 6 cihazları ile SonicOS 7.0.1-5035 ve önceki sürümlerini çalıştıran Gen 7 cihazlarını etkiliyor.

    Araştırmacılar, Akira fidye yazılımı işbirlikçilerinin saldırılarının başlangıç vektörü olarak SonicWall cihazlarındaki SSLVPN hesaplarını ele geçirdiğini ve kullandığını belirtti.

    Araştırmacılardan birinin açıklamasına göre her bir sistemde, ele geçirilen hesaplar merkezi bir kimlik doğrulama çözümü (Microsoft Active Directory gibi) ile entegre olmaktan ziyade cihazların kendisinde yer aldığı görüldü. Ayrıca, tüm ele geçirilen hesaplar için MFA (çok faktörlü kimlik doğrulama)'nın devre dışı bırakıldığı ve etkilenen cihazlardaki SonicOS yazılımı CVE-2024-40766’ya karşı savunmasız bilinen sürümler arasında olduğu belirtildi.

    Uzmanlar, en son SonicOS yazılımına yükseltmenin yanı sıra, yerel olarak yönetilen SSLVPN hesapları için MFA'yı etkinleştirmeyi ve Gen5 ile Gen6 cihaz sahiplerinin/ yöneticilerinin her hesap için parolalarını güncellemelerini tavsiye etti.
    .
    Geçtiğimiz Pazartesi günü bu açık CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklendi ve federal ajanslara bu açığı 30 Eylül'e kadar yamalama talimatı verildi.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Cisco Meraki Systems Manager (SM) Zafiyeti

    Cisco Systems, Windows için Cisco Meraki Systems Manager (SM) Agent'ta bir güvenlik açığı ile ilgili kritik bir güvenlik belgesi yayımladı.

    CVE-2024-20430 olarak tanımlanan bu açık, yetkili yerel saldırganların yükseltilmiş ayrıcalıklarla rastgele kod yürütmesine olanak tanıyor. CVSS puanı 7.3 olan bu güvenlik açığı, yüksek derecede ciddiyet taşıyor ve etkilenen sistemler için önemli bir risk oluşturuyor.

    Güvenlik açığı, çalışma zamanında dizin arama yollarının yanlış işlenmesinden kaynaklanıyor. Bu açık, düşük ayrıcalıklara sahip bir saldırganın, kötü niyetli yapılandırma ve DLL dosyalarını sisteme yerleştirerek sistemi kötüye kullanmasına olanak tanıyor.

    Cisco Meraki SM, başlatıldığında bu dosyaları okuyor ve çalıştırıyor, bu da saldırgana SISTEM düzeyinde ayrıcalıklar sağlayabilir.

    Kullanıcılara, riski azaltmak için yazılım güncellemelerini uygulamaları şiddetle tavsiye ediliyor.

    Cisco Meraki, sorunu çözen güncellemeleri yayımladı ve kullanıcıların Cisco Meraki SM Agent for Windows Sürüm 4.2.0 veya daha yenisine güncelleme yapmaları öneriliyor.

    Etkilenen Ürünler

    Bu güvenlik açığı, özellikle Windows için Cisco Meraki SM Agent'ı etkiliyor. Cisco, Mac için SM Agent'ın etkilenmediğini doğruladı.

    Düzeltilmiş Yazılım ve Öneriler

    Cisco Meraki, bu güvenlik açığını gidermek için ücretsiz yazılım güncellemeleri sağladı. Müşteriler, bu güncellemeleri indirmek için geçerli bir lisansa sahip olmalı ve güncellemeler Meraki Dashboard üzerinden temin edilebiliyor.

    Cisco'nun bu güvenlik açığını ele almak için proaktif adımları, dijital dünyada sürekli değişen güvenlik tehditleri karşısında sağlam güvenlik uygulamalarının önemini ortaya koyuyor.
     

    Microsoft ZeroDay Zafiyetler

    Microsoft’un Eylül 2024 Patch Tuesday güncellemesi, dört sıfır gün açığı ve çeşitli ürünlerde toplamda 79 güvenlik açığını ele aldı.

    CVE-2024-43491Microsoft Windows Update Uzaktan Kod Yürütme (RCE) Açığı
    Bu güvenlik açığı, Windows 10 sürüm 1507'nin servis yığını etkileyerek, önceki güvenlik düzeltmelerinin geri alınması nedeniyle uzaktan kod yürütmeye olanak tanır. Kullanıcı etkileşimi olmadan ağ üzerinden istismar edilebildiği için oldukça tehlikelidir. Microsoft, bu güvenlik açığının aktif olarak istismar edilmediğini belirtse de, geçmiş yamaların geri alınma potansiyeli nedeniyle önemli bir tehdit oluşturur.

    CVE-2024-38014Windows Installer Yetki Yükseltme Açığı
    Bu sıfır gün açığı, saldırganların Windows Installer'daki uygunsuz yetki yönetimini kullanarak SISTEM düzeyinde ayrıcalıklar elde etmesine olanak tanır. Canlı ortamda aktif olarak istismar edildiği için acil yamalanması gerekmektedir.

    CVE-2024-38226Microsoft Publisher Güvenlik Özelliği Atlatma Açığı
    Bu güvenlik açığı, Microsoft Publisher'da makro politikalarının atlatılmasına olanak tanıyarak güvensiz dosyaların çalıştırılmasına yol açabilir. Başarılı bir istismar kullanıcı etkileşimi gerektirir, ancak aktif olarak istismar edilmiştir ve bu da riskini artırmaktadır.

    CVE-2024-38217Windows Mark of the Web Güvenlik Özelliği Atlatma Açığı
    Bu hata, saldırganların internetten indirilen dosyalar için güvenlik uyarılarını atlatmasına olanak tanır, bu da kötü niyetli dosyaların çalıştırılmasına yol açabilir. Kamuya açıklanmış ve canlı ortamda istismar edilmiş olup, sıklıkla fidye yazılımı saldırılarıyla ilişkilendirilmektedir.

    Genel Güvenlik Açığı Dağılımı

    Toplam Düzeltme Yapılan Güvenlik Açığı: 79
    • Kritik Güvenlik Açıkları: 7
    • Kategoriler:
    • Yetki Yükseltme: 30
    • Uzaktan Kod Yürütme: 23
    • Güvenlik Özelliği Atlatma: 4
    • Bilgi Açığa Çıkması: 11
    • Hizmet Engelleme (DoS): 8
    • Kimlik Sahteciliği: 3

    Bu Patch Tuesday güncellemesinde ele alınan güvenlik açıkları, zamanında yama yönetiminin önemini vurgulamaktadır. Kuruluşlar ve bireysel kullanıcılar, potansiyel riskleri azaltmak için bu güncellemeleri derhal uygulamalıdır. Özellikle uzaktan kod yürütme ve yetki yükseltme gibi kritik güvenlik açıkları, sistem güvenliği ve veri bütünlüğü açısından önemli tehditler oluşturmaktadır.

    Güvenlik uzmanları, yalnızca yamaların uygulanmasının değil, aynı zamanda kullanıcıların güvenilmeyen kaynaklardan dosya indirme ve çalıştırma riskleri konusunda eğitilmesinin önemini vurgulamaktadır. 
     

    Amerika - Arkansas Şehri Su Arıtma Tesislerine Siber Saldırı

    A.B.D. Kansas'taki Cowley County'de bulunan küçük bir şehir olan Arkansas City, Pazar sabahı tespit edilen bir siber saldırıyı kontrol altına almak amacıyla hafta sonu su arıtma tesisini manuel operasyonlara geçirmek zorunda kaldı.

    Şehir yetkilileri olayı ilgili mercilere bildirdi ve yerel basına göre, İç Güvenlik ve FBI ajanları incelemelere başladı. Arkansas şehri yöneticisi Randy Frazer, su tedarikinin güvenli olduğunu ve siber saldırının su arıtma işlemlerini etkilemediğini doğruladı.

    Frazer, hafta sonu yayınlanan açıklamasında, "Tedbir olarak, Su Arıtma Tesisi manuel operasyonlara geçirilmiştir. Durum çözülene kadar şehrin kontrolü tam anlamıyla sağlanmıştır ve içme suyu güvenlidir." dedi.

    Hükümet yetkilileri ve siber güvenlik uzmanları, şehrin su tesisini normal operasyonlara geri döndürmek için "durumu çözmek" üzere çalışıyor. Şehir ayrıca güvenliği artırılmış tedbirler aldığını ve su kalitesinde ya da hizmette herhangi bir değişiklik beklenmediğini belirterek kullanıcılara güven sağlamaya çalıştı.

    Cumartesi günü şehir, bazı pompalarla ilgili sorunlar yaşadığını ve sakinlere hafta sonu ve muhtemelen Pazartesi günü düşük su basıncı yaşayabileceklerini bildirdi.

    ABD Su Sektörüne Yönelik Saldırılardan Özetler

    Arkansas City su tesisi, Water Information Sharing and Analysis Center (WaterISAC) adlı kar amacı gütmeyen bir kuruluşun, Rusya bağlantılı tehdit aktörlerinin su sektörünü hedef aldığı konusunda TLP tehdit uyarısı yayımlamasından iki gün sonra saldırıya uğradı.

    Bu olaydan bir gün önce, ABD Çevre Koruma Ajansı (EPA), su ve atık su sistemlerinin (WWS) siber güvenlik uygulamalarını değerlendirmeleri ve siber saldırılara karşı maruziyetlerini azaltmaya yönelik önlemleri belirlemelerine yardımcı olmak için rehberlik yayımladı.

    Son yıllarda, İran ve Çin destekli devlet grupları da ABD su sistemlerini hedef aldı ve ihlal etti. Örneğin, Volt Typhoon hacker'ları, içme suyu sistemleri de dahil olmak üzere kritik altyapı kuruluşlarının ağlarına sızarken, İran Devrim Muhafızları bağlantılı tehdit aktörleri Pennsylvania'daki bir su tesisine girdi.

    Son on yılda ABD'deki Su ve Atık Su Sistemleri (WWS) tesisleri, Güney Houston'daki bir atık su arıtma tesisini, 2016'daki eski yazılım ve donanım ekipmanına sahip bir su şirketini ve 2020 Ağustos'unda Güney Kaliforniya Camrosa Su Bölgesi'ni hedef alan Ghost, ZuCaNo ve Makop fidye yazılımı saldırılarıyla birkaç kez ihlal edildi.

    Kia Hack! – Uzaktan Kontrol Edilebiliyor!

    Araştırmacılar, Kia Web Portalında milyonlarca arabayı takip etmelerine, kapıların kilidini açmalarına ve motorları istedikleri zaman çalıştırmalarına olanak tanıyan bir zafiyet buldu.
     
    Otomobil üreticisi, bağımsız güvenlik araştırmacılarının konuyu bildirmesinin ardından bu sorunu düzeltti.
     
    Kia Araçlarının Uzaktan Kontrolü

    Bu açık, aynı araştırma grubunun son yıllarda keşfettiği diğer sorunlara benzer bir yapıda, zafiyetin modern bağlantılı araçların siber saldırılara karşı savunmasızlığına ilişkin endişeleri artırması da muhtemeldir.

    26 Eylül'de yayımlanan bir raporda, bağımsız araştırmacı Sam Curry, Kia'daki bu güvenlik açığını, birkaç yıl önce kendisinin ve meslektaşlarının Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes ve diğer markaların araçlarında bulduğu çok sayıda açık üzerine yaptığı araştırmalar sırasında keşfettiğini söyledi.
     
    Araştırmacılar, o dönem araçların uzaktan kilitlenip açılmasını, motorun çalıştırılıp durdurulmasını, far ve kornanın etkinleştirilmesini sağlayan komutların kullanılabileceğini gösterdi. Bazı açıklardan faydalanan bir saldırgan, araç sahibinin hesabını ele geçirip yönetim dışı bırakabilirken, diğerleri aracın kamerasına uzaktan erişim sağlıyor ve aracın içinden canlı görüntü izlenebiliyordu. Bazı hack girişimlerinde, saldırganın sadece araç kimlik numarası ya da bazen sahibinin e-posta adresine sahip olması yeterli oluyordu.
     
    Otomotiv API Protokollerindeki Sorun

    Curry ve ekibinin bulduğu yeni sorun, Kia otomobillerindeki internetten araca komut gönderme işlevlerini mümkün kılan uygulama programlama arayüzü (API) protokollerinden kaynaklanıyordu.
     
    Araştırmacılar, bir Kia bayisi hesabı kaydetmenin ve bunu doğrulamanın oldukça kolay olduğunu keşfetti. Bu doğrulama ile bayilere ayrılmış API'lere erişerek araç ve hesap arama, sahip kaydı gibi işlevler gerçekleştirilebiliyordu.
     
    Bir süre deneme yaptıktan sonra, araştırmacılar bayiye ait API'leri kullanarak araç plaka bilgilerini girip, aracın ana işlevlerini kontrol etmelerini sağlayan verileri elde edebildiklerini fark etti. Bu işlevler arasında motorun uzaktan çalıştırılıp durdurulması, kapıların kilitlenip açılması, farların ve kornanın etkinleştirilmesi ve aracın tam konumunun belirlenmesi gibi özellikler bulunuyordu.
     
    Ayrıca, araç sahibinin kişisel bilgilerinin (PII) elde edilmesi ve kendilerini asıl hesap sahibi olarak kaydetmeleri de mümkündü. Bu, sahibine sunulan tüm işlevlerin kontrolünü ele geçirmeleri anlamına geliyordu. Sorun, 2013’ten 2025’e kadar birçok Kia modelini etkiledi. Daha eski araçlarda araştırmacılar, sadece plaka bilgilerini girerek 30 saniye içinde aracın uzaktan kontrol edilebileceğini gösteren bir araç geliştirdiler.
      
     
    Araçların Siber Güvenliğiyle İlgili Rahatsız Edici Bir Durum

    Kia'daki hack haberi, bağlantılı araçlarla ilgili artan güvenlik endişelerini daha da artırıyor. Bu yılın başlarında, iki üst düzey ABD'li senatör, General Motors, Honda ve Hyundai'yi, araç sahipleri ve onların hareketleri hakkında geniş çaplı veri topladıkları gerekçesiyle eleştirmişti. Senatörler Ron Wyden (D-Ore.) ve Edward Markey (D-Mass.), bu veri toplama uygulamalarının, otomobil üreticilerinin daha fazla denetime ve gözetim altına alınması gerektiğini ortaya koyan endüstri genelinde bir sorun olduğuna dikkat çekmişti.


    Eskiden insanlar, araçlarının anahtarlarının çalınmasından endişe ederken, şimdi ise araç üreticilerinin akıllı araçlarına ne kadar iyi sahip çıkacağı konusunda kaygılanıyorlar. Akıllı araçların hayatımıza hızla büyük bir yer edineceği kaçınılmaz, ancak bu hızlı entegrasyonun getirdiği sorumluluk ve yük yine tüketicinin omuzlarına binecek gibi görünüyor. Teknolojinin getirdiği bu yenilikler heyecan verici olsa da, beraberinde getirdiği güvenlik ve mahremiyet endişeleri de göz ardı edilemez.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , ,

    02 Eylül 2024

    Siber Güvenlik Bülteni - Ağustos 2024

     

    Bültenimizin Ağustos Ayı konu başlıkları; 
      • Vmware ESXİ Zafiyeti Ransomware Grupları Tarafından İstismar Ediliyor
      • Fidye Saldırılarında Rekor Ödemeler Devam Ediyor.
      • Apache OFBiz’de Kritik Güvenlik Zafiyeti
      • 18 Yıllık  0.0.0.0 Zafiyeti
      • Zero-click Windows TCP/IP RCE Zafiyeti

      Vmware ESXİ Zafiyeti Ransomware Grupları Tarafından İstismar Ediliyor

      VMware ESXi hipervizörlerini etkileyen ve yakın zamanda yamalanan bir güvenlik açığı, "birkaç" fidye yazılımı grubu tarafından yetki yükseltme sağlamak ve dosya şifreleyen kötü amaçlı yazılımlar dağıtmak için aktif olarak istismar edildi.

      Saldırılar, CVE-2024-37085 adlı bir Active Directory entegrasyonu kimlik doğrulama atlatma açığının istismarını içeriyor. Bu açık, saldırganın host üzerinde yönetici erişimi elde etmesine olanak tanıyor.

      Üretici "Yeterli Active Directory (AD) yetkilerine sahip kötü niyetli bir aktör, daha önce kullanıcı yönetimi için AD kullanacak şekilde yapılandırılmış bir ESXi hostuna, AD'den silindikten sonra yapılandırılmış AD grubunu ('ESXi Admins' varsayılan olarak) yeniden oluşturarak tam erişim sağlayabilir." diye belirtti.

      Microsoft, 29 Temmuz'da yayınladığı yeni bir analizde, Storm-0506Storm-1175 (Medusa fidye yazılımını dağıtan Çin merkezli bir tehdit aktörü), Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörlerinin, Akira ve Black Basta'yı dağıtmak için bu sonrası istismar tekniğini kullandığını belirtti.

      Araştırmacılar "Active Directory etki alanına katılmış VMware ESXi hipervizörleri, varsayılan olarak 'ESX Admins' adlı bir etki alanı grubunun herhangi bir üyesini tam yönetici erişimine sahip olarak kabul eder.  Bu grup, Active Directory'de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun varlığını doğrulamaz ve grup başlangıçta mevcut olmasa bile bu adı taşıyan herhangi bir grubun üyelerini tam yönetici erişimine sahip olarak kabul eder." dedi

      Storm-0506 tarafından Kuzey Amerika'daki ismi açıklanmayan bir mühendislik firmasına yönelik bir saldırıda, tehdit aktörü, QakBot enfeksiyonunu kullanarak ve Windows Common Log File System (CLFS) Sürücüsündeki (CVE-2023-28252) bir diğer açığı istismar ederek ESXi hipervizörlerine yetki yükseltmek için bu güvenlik açığını kullandı.

      Son birkaç yılda, fidye yazılımı aktörleri, etkiyi en üst düzeye çıkarmak ve tespitten kaçınmak için yeni tekniklere yönelme eğilimi göstermiştir. ESXi hipervizörlerini giderek daha fazla hedef alıyorlar ve internet yüzeyine açık sunuculardaki yeni açıklanan güvenlik açıklarından yararlanarak ilgilendikleri hedefleri ihlal ediyorlar.

      Yakın zamanda fidye yazılımı içeren saldırılarda, ilk erişim için Fortinet ve Veeam Backup & Replication yazılımındaki bilinen zayıflıklardan yararlanıldığı tespit edilmiştir.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Fidye Saldırılarında Rekor Ödemeler Devam Ediyor.

      Zscaler, bir şirket tarafından Dark Angels fidye yazılımı grubuna yapılan 75 milyon ABD doları tutarındaki rekor bir fidye ödemesini keşfetti. Zscaler, 2024 yılının başlarında gerçekleşen bir saldırının ardından 75 milyon dolar fidye ödeyen şirketin adını açıklamadı.

      Dark Angels fidye yazılımı grubu, Mayıs 2022'den beri aktif ve Dunghill veri sızıntısı sitesini işletiyor. Grup;  sağlık, hükümet, finans ve eğitim gibi geniş bir yelpazedeki sektörleri hedef alıyor ve son zamanlarda büyük sanayi, teknoloji ve telekomünikasyon şirketlerine odaklanıyor.

      2024 yılının başlarında bir kurbanın gruba 75 milyon dolar ödediği bir vaka ortaya çıktı. Araştırmacılar, bu yılın başlarında 75 milyon dolarla şimdiye kadarki en büyük fidye ödemesini gördüklerini doğruladı.

      Raporlarda "Çoğu durumda, Dark Angels grubu, genellikle 1-10 TB aralığında büyük miktarda bilgi çalar. Büyük işletmelerde, grup 10-100 TB arasında veri sızdırmıştır ve bu, günler veya haftalar sürebilir." belirtiliyor. "Dark Angels tarafından gerçekleştirilen en yüksek profilli saldırı, Eylül 2023'te, grup bina otomasyon sistemleri gibi hizmetler sağlayan uluslararası bir holdingi ihlal ettiğinde gerçekleşti. Dark Angels, 51 milyon dolar fidye talep etti, 27 TB'den fazla kurumsal veri çaldığını iddia etti ve şirketin VMware ESXi sanal makinelerini şifreledi. Saldırı sırasında, şirketin dosyalarını şifrelemek için bir RagnarLocker fidye yazılımı varyantı kullanıldı."
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Apache OFBiz’de Kritik Güvenlik Zafiyeti

      Apache OFBiz'de kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığı, tehdit aktörlerinin veri hırsızlığı, ağdaki çeşitli uygulamalara ve bölümlere yanal hareket etme gibi tehditlere karşı organizasyonları savunmasız bırakabilir.

      OFBiz müşterilerinin sayısı yaklaşık 170 olup, Atlassian JIRA, Home Depot, United Airlines ve Upwork Global gibi önemli kuruluşları içermektedir.

      CVE-2024-38856 olarak izlenen bu hata, sömürülmesinin ne kadar etkili olabileceği göz önüne alındığında, 9.8 gibi oldukça yüksek bir CVSS puanına sahiptir. Apache OFBiz, çeşitli iş süreçlerine yüksek ayrıcalıklı erişimi olan, tek bir panel üzerinden yönetim ve otomasyon amacı taşıyan açık kaynaklı bir kurumsal kaynak planlama (ERP) sistemidir; bu süreçler muhasebe, insan kaynakları, müşteri ilişkileri yönetimi, sipariş yönetimi, üretim ve e-ticaret gibi alanları içerebilir.

      CVE-2024-38856, geçersiz kılma görünümü işlevinde bulunur ve tehdit aktörlerinin özel bir istekle kritik uç noktalara erişmesine izin verebilir.

      Organizasyonlarını korumak isteyen yöneticilerin, sistemlerini 18.12.15 veya daha yeni bir sürüme yükseltmeleri önerilir.

      18 Yıllık  0.0.0.0 Zafiyeti

      Bu güvenlik açığını anlamak için tarayıcı güvenliğini ve 0.0.0.0 gibi IP adreslerinin rolünü anlamak önemlidir.
      Tarayıcılar her zaman bir güvenlik hedefi olmuştur ve sandboxing ve HTTPS-ONLY çerezler gibi yenilikçi güvenlik konseptlerini tanıtmıştır.

      0.0.0.0 IP adresi, bir yer tutucu veya varsayılan adres olarak kullanılmak da dahil olmak üzere çeşitli amaçlarla kullanılır. Ancak, IPv4'te bir hedef adres olarak kullanılması yasaktır ve yalnızca belirli koşullar altında bir kaynak adres olarak kullanılmasına izin verilir.
       
      Buna rağmen, 0.0.0.0 çeşitli bağlamlarda, örneğin belirli alan adlarını engellemek için /etc/hosts dosyalarında veya tüm IP'lere izin vermek için ağ politikalarında kullanılmıştır.
       
      Web sitesi kullanıcılarını dijital olarak "parmak izi" ile tanımlamak, geri dönen kullanıcıları tanımlamak gibi çeşitli amaçlar için kullanılan bilinen bir tekniktir. Ancak, tehdit aktörleri bu tekniği kimlik avı kampanyaları için istihbarat toplamak amacıyla da kullanabilirler.
       
      0.0.0.0 güvenlik açığının kullanılması, saldırganların kullanıcıları taraması ve açık portları ve savunmasız hizmetleri tanımlamasıyla sonuçlanabilir.
       
      Google’ın Özel Ağ Erişimi (PNA) girişimi, CORS'u genişleterek web sitelerinin özel ağlardaki sunuculara istek göndermesini kısıtlamayı amaçlıyor. PNA, genel, özel ve yerel ağlar arasında bir ayrım yapmayı ve daha güvenli bağlamlara isteklerin gönderilmesini önlemeyi öneriyor. Oligo Security araştırmacıları, 0.0.0.0'ın özel veya yerel IP segmentleri listesinde yer almadığını keşfetti ve bu, web sitelerinin 0.0.0.0'a istek göndermesine izin veriyordu.
       
      Sorumlu açıklamanın ardından, mevcut PNA uygulamasının bu atlatılması ve tarayıcılardaki doğuştan gelen kusurlar tüm tarayıcılara bildirildi.
       
      Tarayıcı Düzeyinde Çözüm Uygulamaları
       
      Google Chrome (ve Edge gibi Chromium tabanlı tarayıcılar):
       
      Güvenlik Açığı: 0.0.0.0, PNA’yı atlayarak özel IP’lere erişim sağlıyor.
      Düzeltme Dağıtımı: Chrome 128'den itibaren 0.0.0.0'ın engellenmesi, Chrome 133'te tamamen etkili olacak.
      İstatistikler: Web sitelerinin %0.015'i (yaklaşık 100K) 0.0.0.0 ile iletişim kuruyor.
       
      Apple Safari:
      WebKit Değişiklikleri: Artık 0.0.0.0 erişimini engelliyor.
      Uygulama: Tüm sıfır IP adreslerine yapılan istekler engelleniyor.
       
      Mozilla Firefox:
      Mevcut Durum: Hemen bir düzeltme yok; PNA başlangıçta uygulanmadı.
      Özellik Güncellemesi: Fetch spesifikasyonu, 0.0.0.0'ı engelleyecek şekilde güncellendi.
      Gelecek Planlar: PNA uygulaması sonunda 0.0.0.0'ı engelleyecek.
       
      0.0.0.0 güvenlik açığı, tarayıcı endüstrisinin standardizasyon ve Özel Ağ Erişiminin (PNA) bu standarda göre uygulanması ihtiyacını vurgulamaktadır. PNA tamamen yayılana kadar, kamu web siteleri, yerel ağdaki hizmetlere ulaşmak için Javascript kullanarak HTTP istekleri gönderebilir ve bu durum yetkisiz erişim ve uzaktan kod yürütmeye yol açabilir.

      Zero-click Windows TCP/IP RCE Zafiyeti

      Microsoft, varsayılan olarak etkinleştirilen IPv6 kullanan tüm Windows sistemlerini etkileyen ve istismar edilme olasılığı yüksek olan kritik bir TCP/IP uzaktan kod yürütme (RCE) güvenlik açığını yamalamaları konusunda müşterilerini uyardı.

      CVE-2024-38063 olarak izlenen bu güvenlik açığı, saldırganların savunmasız Windows 10, Windows 11 ve Windows Server sistemlerinde rastgele kod yürütmek için kullanabilecekleri tampon taşmalarını tetiklemek amacıyla yararlanabilecekleri bir Tamsayı Alt Taşması zafiyetinden kaynaklanmaktadır.

      Güvenlik araştırmacısı, " Yerel Windows güvenlik duvarında IPv6'yı engellemenin istismarı engellemeyeceğini, çünkü güvenlik açığının güvenlik duvarı tarafından işlenmeden önce tetiklendiğini” belirtti.

      Microsoft, Salı günkü danışma belgesinde, kimliği doğrulanmamış saldırganların bu zafiyeti düşük karmaşıklıkta saldırılarda uzaktan istismar edebileceğini ve özel olarak hazırlanmış IPv6 paketlerini içeren paketlerin tekrarlanarak gönderilmesiyle bu hatadan yararlanılabileceğini açıkladı.

      Microsoft ayrıca bu kritik güvenlik açığı için bir istismar değerlendirmesi paylaştı ve bu açığı "istismar edilme olasılığı daha yüksek" olarak etiketledi, bu da tehdit aktörlerinin hatayı sürekli olarak istismar etmek için istismar kodu oluşturabileceği anlamına geliyor.

      Microsoft, "Microsoft, bu tür bir güvenlik açığının daha önce istismar edildiğinin farkında. Bu durum, saldırganlar için cazip bir hedef haline getirebilir ve dolayısıyla istismarların oluşturulma olasılığını artırır," diyor.
       
      Bu haftanın Windows güvenlik güncellemelerini hemen yükleyemeyenler için, Microsoft saldırı yüzeyini kaldırmak amacıyla IPv6'yı devre dışı bırakmayı öneriyor.
       
      Ancak, destek web sitesinde şirket, IPv6 ağ protokolü yığınının Windows Vista ve Windows Server 2008 ve daha yeni sürümlerinin "zorunlu bir parçası" olduğunu belirtiyor ve IPv6 veya bileşenlerini devre dışı bırakmayı önermiyor, çünkü bu bazı Windows bileşenlerinin çalışmayı durdurmasına neden olabilir.

      Microsoft ve diğer şirketler, Windows kullanıcılarını CVE-2024-38063 istismarlarını kullanarak potansiyel saldırıları engellemek için sistemlerini mümkün olan en kısa sürede yamalamaları konusunda uyardı, bu durum IPv6 paketleri kullanılarak istismar edilebilecek ilk Windows güvenlik açığı değildir ve muhtemelen son da olmayacaktır.

      Son dört yıl içinde Microsoft, kötü niyetli ICMPv6 Yönlendirici Reklam paketleri kullanılarak uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) saldırılarında kullanılabilecek iki TCP/IP hatası da dahil olmak üzere, birkaç IPv6 sorununu yamaladı (CVE-2020-16898/9, Ping of Death olarak da adlandırılır).

      Ek olarak, bir IPv6 parçalama hatası (CVE-2021-24086) tüm Windows sürümlerini DoS saldırılarına karşı savunmasız bıraktı ve bir DHCPv6 hatası (CVE-2023-28231) özel olarak hazırlanmış bir çağrı ile RCE elde edilmesini mümkün kıldı.

      Saldırganlar henüz IPv6 etkin tüm Windows cihazlarını hedef alan yaygın saldırılarda bu hatalardan yararlanmamış olsalar da, kullanıcıların CVE-2024-38063'ün artan istismar olasılığı nedeniyle bu ayki Windows güvenlik güncellemelerini derhal uygulamaları önerilmektedir.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , , ,

      30 Temmuz 2024

      Siber Güvenlik Bülteni - Temmuz 2024

       

      Bültenimizin Temmuz Ayı konu başlıkları; 
        • CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu
        • APT41 Saldırılarında Türkiye’yi de Hedef Alıyor
        • SolarWinds 'de Kritik Zafiyetler
        • Juniper 'de Kritik Zafiyet
        • Cisco 'da Kritik Zafiyet

        CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu

        CrowdStrike, Windows cihazlarının Mavi Ekran (BSOD) hatası aldığını gösteren yaygın raporlar aldıktan sonra bir soruşturma başlattı. Mavi ekran hataları, yakın zamanda yapılan CrowdStrike Falcon sensör güncellemesi nedeniyle meydana geldi. Etkilenen cihazlar, çalışamaz hale getiren bir BSOD döngüsüne giriyor.

        CrowdStrike, Cuma gecesi yaptığı açıklamada, 19 Temmuz 2024 saat (UTC) 04:09'da  Windows sistemlerine gönderilen rutin bir sensör yapılandırma güncellemesinin dünya genelinde bilgisayar sistemlerinde mavi ekrana neden olan bir mantık hatasını tetiklediğini söyledi.

        Şirket, geçici çözüm olarak sistemlerin Güvenli Mod'da başlatılarak bir CrowdStrike bileşeninin silinmesini öneriyor.

        CrowdStrike CEO'su George Kurtz, sosyal medya platformu X üzerinden yaptığı açıklamada, sorunun Windows cihazları için tek bir içerik güncellemesinde bulunan bir "hata" nedeniyle meydana geldiğini söyledi. "Mac ve Linux cihazları etkilenmedi. Bu bir güvenlik olayı veya siber saldırı değil. Sorun tanımlandı, izole edildi ve bir düzeltme yayımlandı," diyerek durumu izah etmeye çabaladı.

        Hatalı CrowdStrike güncellemesi dünya genelindeki büyük havaalanları da dahil birçok kuruluş için ciddi sorunlara neden oldu ve halen sorunun yarattığı problemli sistemler de mevcut.

        American Airlines, BBC'ye yaptığı açıklamada, uçuşların kalkışına izin verilmediğini ve olayın "CrowdStrike ile ilgili bir teknik sorun" nedeniyle olduğunu söyledi.

        Halka açık CrowdStrike hisseleri, ilk günkü işlemlerde %11'den fazla düştü.

        Microsoft, yaptığı açıklamada, "bir CrowdStrike güncellemesinin dünya genelinde birçok BT sistemini çökerttiğini" söyledi. Şirket, müşterilerin iyileşmesine yardımcı olmak için aktif olarak destek veriyor.
        Azure bulut hizmetinin durum sayfasında, CrowdStrike Falcon ajanını çalıştıran bazı sanal makinelerin de etkilendiği belirtiliyor.
         
        Yaşanan Sorunlara Dair Son Veriler;
        • Son belirlemelere göre CrowdStrike güncellemesinin 8,5 milyon Windows cihazını etkilediği tahmin ediliyor.
        • CrowdStrike ile bağlantılı yakın zamanda yaşanan küresel BT kesintisi, Fortune 500 şirketlerinin %25’i etkilendi ve tahmini 5,4 milyar dolarlık doğrudan mali kaybına neden oldu.
        • En çok etkilenen  sektörler; Sağlık (1.94 milyar dolar), Bankacılık (1.15 milyar dolar), Havacılık (860 milyon dolar), Yazılım ve IT (560 milyon dolar), Perakende/Toptan(470 milyon dolar), Diğer (190 milyon dolar), Finans (140 milyon dolar), Ulaşım ve Lojistik (70 milyon dolar) ve Üretim (40 milyon dolar)

        KONUYLA İLİŞKİ SALDIRILAR DA ARTTI;

        Son dönemlerde Crowdstrike üzerinden oltalama ve sosyal mühendislik sayılarında ciddi artış bulunmaktadır ve güncelleme dosyası olarak   zararlı yazılım dağıtımı yapılmaktadır.

        Tespit Edilen Bazı Siteler;

        crowdstrike.phpartners[.]org
        crowdstrike0day[.]com
        crowdstrikebluescreen[.]com
        crowdstrike-bsod[.]com
        crowdstrikeupdate[.]com
        crowdstrikebsod[.]com
        www.crowdstrike0day[.]com
        www.fix-crowdstrike-bsod[.]com
        crowdstrikeoutage[.]info
        www.microsoftcrowdstrike[.]com
        crowdstrikeodayl[.]com
        crowdstrike[.]buzz
        www.crowdstriketoken[.]com
        www.crowdstrikefix[.]com
        fix-crowdstrike-apocalypse[.]com
        microsoftcrowdstrike[.]com
        crowdstrikedoomsday[.]com
        crowdstrikedown[.]com
        whatiscrowdstrike[.]com
        crowdstrike-helpdesk[.]com
        crowdstrikefix[.]com
        fix-crowdstrike-bsod[.]com
        crowdstrikedown[.]site
        crowdstuck[.]org
        crowdfalcon-immed-update[.]com
        crowdstriketoken[.]com
        crowdstrikeclaim[.]com
        crowdstrikeblueteam[.]com
        crowdstrikefix[.]zip
        crowdstrikereport[.]com

        APT41 Saldırıları Türkiye’yi de Hedef Alıyor

        Çinli tehdit gruplarından biri olan APT41, küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv endüstrileri de dahil olmak üzere birçok kilit sektördeki kuruluşları hedef alarak, süreklilik gösteren saldırılar ile siber casusluk kampanyası yürütüyor.

        Gelişmiş sürekli tehdit (APT) aktörü, yeni saldırı kampanyasını 2023 yılının başlarında başlatmış gibi görünüyor. O zamandan beri grup, birçok kurbanın ağlarına başarılı bir şekilde sızdı ve bu ağlara sahiplerince tespit edilemeyen uzun süreli izinsiz erişimini sürdürdü. Etkilenen kuruluşların çoğu Birleşik Krallık, İtalya, İspanya, Tayvan, Tayland ve Türkiye'de bulunuyor.

        APT41, 2012'den bu yana küresel çapta siber casusluk, tedarik zinciri saldırıları ve finansal motivasyonlu saldırılar gibi siber suçlara yönelen ve Çin merkezli olan tehdit aktörlerini kapsayan bir terimdir. Yıllar içinde güvenlik araştırmacıları, APT41 kollektifine dahil olan Wicked Panda, Winnti, Suckfly ve Barium gibi birçok alt grubu tanımladı. Bu gruplar, ABD kuruluşları ve dünya çapındaki diğer varlıklardan Çin hükümeti adına ticari sırları, fikri mülkiyetleri, sağlıkla ilgili verileri ve diğer hassas bilgileri çaldı. 2020 yılında ABD hükümeti, dünya genelinde 100'den fazla şirkete yapılan saldırılara katıldıkları veya katkıda bulundukları gerekçesiyle APT41'in beş üyesini suçladı. Ancak bu suçlamalar, grubun faaliyetlerini şimdiye kadar caydırmak için pek bir işe yaramadı.
         
        APT41'in Saldırdığı Sektörler ve Yaygın Coğrafi Etkisi

        Nakliye ve lojistik sektöründe hedeflenen kuruluşların neredeyse tamamı Orta Doğu ve Avrupa'da bulunurken, medya ve eğlence sektöründe hedeflenen tüm kuruluşlar Asya'da yer almaktadır. Nakliye ve lojistik sektöründeki birçok kurban, aynı sektördeki büyük çok uluslu şirketlerin yan kuruluşları veya bağlı kuruluşları olarak birçok kıtada operasyonlara sahiptir.

        Özel Siber Casusluk Araçları

        Araştırmacılar ayrıca APT41 aktörlerinin devam eden saldırı kampanyasında kötü amaçlı yazılım yüklemek, arka kapılar oluşturmak, ele geçirilen ağlarda yatay hareket etmek ve verileri dışarı çıkarmak için bir dizi özel araç kullandığını gözlemledi. Araçlar, AntsWord ve BlueBeam adlı iki web kabuğu içeriyor ve tehdit aktörü, bu araçları kullanarak DustPan adlı bir yükleyiciyi indiriyor ve bu yükleyici, kurban sistemlerinde Beacon sonrası uzlaşma aracını yüklemeye çalışıyor.
         
        APT41 aktörlerinin şu an etkili bir şekilde kullandığı diğer araçlar arasında Oracle Veritabanlarından veri kopyalamak için SQLULDR2 adlı kötü amaçlı yazılım ve ele geçirilen ağdan büyük miktarda veriyi analiz etmek için bir OneDrive hesabına dışarı çıkarmak üzere PineGrove adlı kötü amaçlı yazılım da yer alıyor.
         
        Araştırmacılar şu ana kadar, APT41'in mevcut saldırı kampanyasında saldırılarını herhangi bir şekilde paraya çevirmeye çalıştığına dair hiçbir kanıt bulamadı. Ancak, uzlaşma sonrası faaliyetler hakkında tam bir bilgiye sahip olmadıklarını ve bu yüzden kesin olarak söyleyemeyeceklerini de eklediler.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        SolarWinds 'de Kritik Zafiyetler

        SolarWinds, Access Rights Manager (ARM) yazılımında uzaktan kod yürütme (RCE) olanağı sağlayan altı güvenlik açığı da dahil olmak üzere sekiz kritik güvenlik açığını giderdi.

        Uzaktan kod yürütme güvenlik açıkları (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 ve CVE-2024-23470) saldırganların ayrıcalık olmadan, sistem ayrıcalıklarıyla veya ayrıcalıksız olarak hatasız sistemlerde kod veya komut yürütmesine olanak tanır.
         
        Şirket ayrıca, kimliği doğrulanmamış kullanıcıların keyfi dosya silme işlemi yapmasına ve kısıtlı dizinlerin dışındaki dosya veya klasörlere erişerek hassas bilgilere ulaşmasına izin veren üç kritik dizin geçişi hatasını (CVE-2024-23475 ve CVE-2024-23472) da yamaladı.
         
        Buna ek olarak, kimliği doğrulanmamış kötü niyetli aktörlerin Active Directory ortamında etki alanı yöneticisi erişimi kazanmasına olanak tanıyabilecek yüksek derecede bir kimlik doğrulama atlama açığını (CVE-2024-23465) da düzeltti.

        SolarWinds, bu açıkları Access Rights Manager 2024.3'te yamaladı ve bu sürümü hata ve güvenlik düzeltmeleriyle yayınlandı.

        Şirket, bu hatalar için konsept kanıtı (proof-of-concept) istismarlarının doğada bulunup bulunmadığını veya bu hatalardan herhangi birinin saldırılarda kullanılıp kullanılmadığını henüz açıklamadı.

        CVE-ID  Güvenlik Açığı Başlığı

        CVE-2024-23469  SolarWinds ARM Tehlikeli Yöntem Uzaktan Kod Yürütme
        CVE-2024-23466  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
        CVE-2024-23467  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
        CVE-2024-28074  SolarWinds ARM İçsel Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı
        CVE-2024-23471  SolarWinds ARM CreateFile Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
        CVE-2024-23470  SolarWinds ARM UserScriptHumster Tehlikeli Yöntem RCE Güvenlik Açığı
        CVE-2024-23475  SolarWinds ARM Dizin Geçişi ve Bilgi Açığa Çıkma Güvenlik Açığı
        CVE-2024-23472  SolarWinds ARM Dizin Geçişi Keyfi Dosya Silme ve Bilgi Açığa Çıkma
        CVE-2024-23465  SolarWinds ARM ChangeHumster Tehlikeli Yöntem Kimlik Doğrulama Atlama

        Şubat ayında şirket, Access Rights Manager (ARM) çözümünde üçü kritik olarak değerlendirilen ve kimliği doğrulanmamış istismara izin veren beş RCE güvenlik açığını yamaladı.

        Dört yıl önce SolarWinds'in iç sistemleri, Rus APT29 hacker grubu tarafından ihlal edildi. Tehdit grubu, Mart 2020 ile Haziran 2020 arasında müşteriler tarafından indirilen Orion BT yönetim platformu sürümlerine kötü amaçlı kod enjekte etti.

        O zamanlar dünya çapında 300.000'den fazla müşteriye hizmet veren SolarWinds, Apple, Google ve Amazon gibi yüksek profilli teknoloji şirketleri ve ABD Askeriyesi, Pentagon, Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi gibi devlet kuruluşları da dahil olmak üzere Fortune 500 şirketlerinin %96'sına hizmet veriyordu.
         
        Ancak, Rus devlet hackerları trojanlı güncellemeleri binlerce sisteme Sunburst arka kapısını dağıtmak için kullansa da, yalnızca çok daha küçük bir SolarWinds müşteri grubunu daha fazla istismar için hedef aldılar.
         
        Tedarik zinciri saldırısı ortaya çıktıktan sonra, birden fazla ABD hükümet kurumu kampanyada ağlarının ihlal edildiğini doğruladı. Bunlar arasında Dışişleri Bakanlığı, İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı, Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), Ulusal Sağlık Enstitüleri ve Ulusal Nükleer Güvenlik İdaresi yer alıyordu.
         
        Nisan 2021'de ABD hükümeti, 2020 SolarWinds saldırısını düzenlemekle Rusya Dış İstihbarat Servisi'ni (SVR) resmen suçladı ve Ekim 2023'te ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds'i saldırıdan önce yatırımcılara siber güvenlik savunma sorunlarını bildirmediği için suçladı.

        Juniper 'de Kritik Zafiyetler

        Juniper Networks, Session Smart Router (SSR)Session Smart Conductor ve WAN Assurance Router ürünlerinde kimlik doğrulama atlamasına yol açan en yüksek seviyeli güvenlik açığını gidermek için acil bir güncelleme yayınladı.
         
        Güvenlik sorunu CVE-2024-2973 olarak izleniyor, bu açık ile bir saldırgan bu açığı kullanarak cihazın tam kontrolünü ele geçirebilir.
         
        "Redundant peer ile çalışan Juniper Networks Session Smart Router veya Conductor'daki Kimlik Doğrulama Atlaması (Authentication Bypass) kullanarak Alternatif Bir Yol veya Kanal ile bir ağ tabanlı saldırganın kimlik doğrulamayı atlamasına ve cihazın tam kontrolünü ele geçirmesine olanak tanır" şeklinde açıklanıyor.
         
        Juniper güvenlik danışmanlığında, "Yalnızca yüksek kullanılabilirlikli redundant konfigürasyonlarda çalışan Router veya Conductor'lar bu güvenlik açığından etkilenmektedir" diye belirtiyor.

        Bu açıklık büyük kurumsal ortamlarda, veri merkezleri, telekomünikasyon, e-ticaret ve hükümet veya kamu hizmetleri de dahil olmak üzere, görevi açısından kritik olan ağ altyapılarında yaygın bir konfigürasyon olmasından sorunu oldukça yaygın hale getirir.
         
        CVE-2024-2973 tarafından etkilenen ürün sürümleri:
         
        Session Smart Router & Conductor:
        5.6.15'ten önceki tüm sürümler
        6.0 sürümlerinden 6.1.9-lts'den önce
        6.2 sürümlerinden 6.2.5-sts'den önce
         
        WAN Assurance Router:
        6.0 sürümlerinden 6.1.9-lts'den önce
        6.2 sürümlerinden 6.2.5-sts'den önce
        Session Smart Router için güvenlik güncellemeleri 5.6.15, 6.1.9-lts ve 6.2.5-sts sürümlerinde mevcuttur.
         
        WAN Assurance Routers, Mist Cloud'a bağlı olduğunda otomatik olarak yamalanır, ancak Yüksek Kullanılabilirlik kümelerinin yöneticilerinin SSR-6.1.9 veya SSR-6.2.5'e yükseltme yapmaları gerekmektedir.
         
        Juniper ayrıca, Conductor düğümlerini yükseltmenin bağlı yönlendiricilere otomatik olarak düzeltmeyi uygulamak için yeterli olduğunu, ancak yönlendiricilerin yine de mevcut en son sürüme yükseltilmesi gerektiğini belirtiyor.

        Bu güvenlik açığı için herhangi bir geçici çözüm mevcut değildir ve önerilen eylem, mevcut düzeltmeleri uygulamakla sınırlıdır.
         
        Juniper'e yönelik saldırılar

        Juniper ürünleri, kritik ve değerli ortamlarda sıklıkla karşılaşıldıkları için hackerlar için cazip bir hedeftir. Geçen yıl, Juniper EX anahtarları ve SRX güvenlik duvarları, dört güvenlik açığını içeren bir istismar zinciri yoluyla hedef alındı ve üretici ilgili bülteni yayınladıktan bir hafta sonra kötü niyetli faaliyetler gözlemlendi.

        Cisco 'da Kritik Zafiyetler

        Cisco NX-OS Yazılımının Komut Satırı Arayüzü (CLI) içindeki kritik bir güvenlik açığı şu anda aktif olarak istismar edilmekte olup, saldırganların etkilenen cihazlarda kök kullanıcı olarak keyfi komutlar çalıştırmasına olanak tanımaktadır.
         
        CVE-2024-20399 olarak tanımlanan bu sıfır gün açığı, özellikle Cisco’nun Nexus ve MDS serisi anahtarlarını kullanan kuruluşlar için önemli bir ağ güvenliği tehdidi oluşturmaktadır.
         
        Güvenlik açığı, belirli yapılandırma CLI komutlarına geçirilen argümanların yetersiz doğrulanmasından kaynaklanmaktadır. Yönetici kimlik bilgilerine sahip kimliği doğrulanmış, yerel bir saldırgan, etkilenen bir yapılandırma CLI komutuna argüman olarak özel hazırlanmış bir girdi sağlayarak bu açığı istismar edebilir. Başarılı istismar, saldırgana kök ayrıcalıkları kazandırarak temel işletim sistemi üzerinde keyfi komutlar çalıştırma yeteneği sağlar.
         
        Etkilenen Ürünler

        Cisco NX-OS Yazılımının savunmasız bir sürümünü çalıştırıyorsa, aşağıdaki Cisco ürünleri etkilenir:
         
        MDS 9000 Serisi Çok Katmanlı Anahtarlar
        Nexus 3000 Serisi Anahtarlar
        Nexus 5500 Platform Anahtarları
        Nexus 5600 Platform Anahtarları
        Nexus 6000 Serisi Anahtarlar
        Nexus 7000 Serisi Anahtarlar
        Nexus 9000 Serisi Anahtarlar, bağımsız NX-OS modunda

        Özellikle, Nexus 3000 ve Nexus 9000 serisinin belirli modelleri, Cisco NX-OS Yazılımı sürümleri 9.3(5) ve sonrası çalıştırıyorsa etkilenmez. Ancak N3K-C3264C-E ve N9K-C92348GC-X modelleri gibi bazı modellerin, sürüm 10.4.3 ve sonrasına güncellenmesi gerekmektedir.
         
        İstismar ve Azaltma

        Kötü amaçlı yazılım, uzaktan bağlantı, dosya yükleme ve sistem syslog mesajlarını tetiklemeden kötü amaçlı kod çalıştırma olanağı sağlar, böylece saldırıyı gizler.
         
        Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Ancak, herhangi bir geçici çözüm mevcut değildir.
         
        Yöneticilerin güncellemeleri derhal uygulamaları ve olası riskleri azaltmak için network-admin ve vdc-admin gibi yönetici kullanıcıların kimlik bilgilerini düzenli olarak izlemeleri ve değiştirmeleri tavsiye edilir.
         
        Cisco, etkileşimli yazılım güncellemelerini belirlemek ve uygun yazılım güncellemelerini bulmak için Cisco Software Checker aracını sağlamakta. Bu araç, etkilenmiş yazılım sürümlerini ve en erken düzeltme sürümlerini belirlemeye yardımcı olmakta. Yöneticiler, bu araca Cisco Software Checker sayfasından erişebilirler.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Labels: , , , , , ,
        Kaydol: Kayıtlar (Atom)

        Popüler Yayınlar