28 Mart 2023

Dijital Dönüşüm ve Yeni Nesil Çözümlerimiz

Hızlı Dijital Dönüşüm, Beraberinde Gelen Riskler ve Yeni Nesil Çözümlerimiz

Hızlı Dönüşümün Temelleri

2020 yılında karşılaştığımız pandemi ortamı ile birlikte, tüm dünyada hızlı bir dijital dönüşüm sürecine gidildi. Sağlık önlemleri temel sebep gösterilerek alınan birçok önlemden ötürü, işletmelerin ve bireylerin fiziksel olarak bir araya gelememesi, gündelik çalışmalarını etkilemeye başladı.

İnsanların ve hatta kurumların, günlük yaşantısını devam ettirebilmesi için, gündelik hayatlarında dijital sistemleri en ön plana koyan bir dijital düzene adapte olmaları, neredeyse tamamen zorunlu hale geldi. Dijital toplantıların, online alışverişlerin artması, dijital bankacılık işlemlerinin artması, aşı ve karantinaya bağlı yazılım uygulamalarının ortaya çıkması, uzaktan çalışma, uzaktan yönetilen sistemler ve daha pek çok dijital kullanım alanı ile karşılaşıldı.


Kısacası dijital yaşama olan yatkınlığın artmak zorunda kaldığı ve dönüşümün önceki yıllara göre daha hızlı ilerlediği bir süreç gözlemledik.

Teknik ön çalışmaları, dijitalleşme yol haritaları hazır olan firmalar ve/veya teknolojiye meraklı bireyler bu sürece daha kontrollü girerken, bazıları ise planlananın ötesinde hızlı hareket etmek zorunda kalarak ya da operasyonel büyüklüğü bir anda plansız şekilde büyüyen işlerin sonucunda tamamen plansız ve kontrolsüz şekilde bu süreçten geçmek durumunda kaldı.



Dijitalin Kattığı Değerler ve Riskler

Dijital dönüşüm süreçlerinde özellikle son yıllarda gözlemlediğimiz ve güvenlik bakış açısıyla değerlendirdiğimizde, hızlı dönüşümlerin sonucunda ortaya çıkan şu kısımların altını çizmek isterim:

- Kurumlar arasındaki bilgi paylaşım miktarı ve hızlı paylaşım ihtiyacı arttı.

- Kurumların dijital görünürlük, erişilebilirlik ve hızlı işlem ihtiyaçları arttı.

- Operasyon süreçlerindeki dijitalleşmemiş bölümlerinin de yazılım ile desteklenmesi ihtiyacı hızla artış gösterdi.

-  Yazılımlar, ihtiyaçların daha net karşılanabilmesi için iş akışlarına göre (ve çoğunlukla büyük hızla) özelleştirildi.

-  Kurum çalışanlarının kurum içerisindeki varlıklarına; dosyalarına, uygulamalarına, cihazlarına erişmesi ihtiyaçları; VPN, TELNET, RDP, SSH vb. uzaktan bağlantı metotlarının kullanımını kaçınılmaz hale getirdi.

- Sunucular üzerinde hizmet veren, kurum operasyonu sırasında kullanılan servislere uzaktan erişimler; farklı coğrafik alanlarda bulunan ve yüksek sayıda kullanıcıya, kurum içi kullanıcılara ve hatta kurum dışı bayi, tedarikçi vb. kullanıcılara da hızla sunulmaya başlandı.

- Dijital erişilebilirliği yüksek tutma ihtiyacı dolayısıyla; VoIP santraller, ERP, CRM uygulamaları vb. bir çok servis ihtiyacı, planlanandan daha yüksek düzeylere ulaştı.


Tüm bu gelişmeler sonucunda ortaya çıkan; sunuculara, servislere dışarıdan erişim ihtiyaçları ve uzak/dış kullanıcı sayısındaki artışlar güvenlik risklerini de artırdı.



Dönüşümler Sonrası Artan Risklerimiz Nelerdir?

- Artan trendlere bağlı olarak, saldırganların seçtiği atak vektörleri yön değiştirdi. Firewall sistemleri ve VPN, uzak yönetim paneli gibi servisler saldırılarda odağa alındı. Dünyada yaygın olarak kullanılan markalı güvenlik duvarları, başarılı saldırılar karşısında yenik düştüler.

- Sunuculara yönelik yapılan saldırılar, fidye saldırıları ve talep edilen fidye tutarları büyük artış gösterdi.

- Uygulamalarda yapılan hızlı değişimler, uygulamaların kurum içi ve kurum dışı test süreçlerinin ertelenmesi, aksatılması, oluşan yazılım zafiyetlerinin daha geç fark edilmesine veya saldırı sonuçları açığa çıkana dek hiç farkedilememesine yol açtı.

- Yaygın olarak kullanılan markalı güvenlik çözümlerine yönelik saldırılar arttı; yaygın olarak kullanılan güvenlik çözümlerinin zafiyetlerini gidermeye yönelik hızlarının yetersiz kaldığı gözlemlendi. Çok sayıda kurum bu sebepten uzunca süre risklere ve başarılı saldırılara maruz kaldı.

- Kısıtlı bir kitleye servis sunma amacıyla kurumda kullanılan uygulamalar, (yalnızca kurum ağı içerisinde kullanılmaya yönelik geliştirilmiş olan uygulamalar da dahil olmak üzere) İnternet üzerinden kullanıcı erişimine açılmak durumunda kalındığından, çok sayıda parola deneme saldırıları, DoS saldırıları ve kurum dışı yetkisiz erişim siber vakaları görüldü.


Dönüşen Riskleri Azaltacak En Önemli Savunma Noktaları Nelerdir?

Siber saldırıları ve ihtiyaçları yakından takip eden ekibimiz, müşterilerimizin artan ihtiyaçlarına yönelik danışmanlık, dış denetim desteği, sızma testleri hizmetleri ile çözüm sunmanın yanı sıra, risklerini en aza indirgeyecek metotlara yönelik de ARGE çalışmalarını eş zamanlı olarak sürdürdü. Bu çalışmalarda rastladığımız, reel sektörden finans sektörüne, eğitimden yüksek otomasyon veya düşük otomasyonlu üretime, bir çok farklı sektörün ortak problemi olduğuna kanaat getirdiğimiz çözüm alanına odaklandık.

ARGE çalışmalarımızın sonucunda yeni ürünümüz TINA ISOLATOR® 'ü ortaya çıkarttık (https://www.tinasecurity.com/tr/isolator-tr/).

Ağ yöneticilerinin servis ve/veya sunuculara olan tüm erişim ihtiyaçlarını Zero Trust yaklaşımı ile en güvenli şekilde sağlamak; erişimleri takip ve kontrol etmesini kolaylaştırmak amacıyla geliştirdik.


ZTNA - Zero Trust Network Access Nedir?

ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.



YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/)

TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.


Dene ve Al Stratejisini Öneriyoruz

Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.


TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

E-posta ile: [email protected]

Online Tanıtım randevunuzu buradan da başlatabilirsiniz.

27 Mart 2023

Siber Güvenlik Bülteni - Mart 2023

 

Bültenimizin Mart Ayı konu başlıkları; 
    • Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum
    • FortiOS ve FortiProxy'de Kritik Zafiyet
    • Veeam Backup'ta Yüksek Düzeyli Zafiyet
    • Microsoft Outlook'ta Kritik Zafiyet
    • Bitcoin ATM'si Hacklendi

    Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum 

    Veri ihlalleri ve siber saldırılar büyüyerek devam ediyor. Bu saldırılara karşı şüphesiz ki en savunmasız alan halen parolalarımız olarak ortaya çıkıyor.

    Binlerce parola içeren, saldırılarda kullanılan sözlük listeleri (wordlist'ler) artık milyon satırı aşıp milyarlar seviyesine gelmiş bulunuyor. Yapılan analizler sonrasında parolalar ile alakalı karşılaşılan bazı istatistiklerden bahsedeceğiz.

    2023'ün en çok kullanılan parolaları;
    1. 123456
    2. 123456789
    3. qwerty
    4. password
    5. 12345
    6. qwerty123
    7. 1q2w3e
    8. 12345678
    9. 111111
    10. 1234567890

    Bu parolaların sadece 2023'ün değil, geçtiğimiz 10 yılın da en yaygın kullanılan parolaları olduğunu söylemek mümkün. Bu parolalar 2.217.015.490'ı (%14.5) benzersiz olan toplam 15.212.645.925 adet parola analiz edilerek ortaya konulmuştur.

    Bu parolalara baktığımızda tahmin edilebilmesinin veya öngörülmesinin dahi çok zor olmadığını, tamamının saldırı sözlüklerinde kullanıma hazır şekilde yer aldığını görüyoruz.

    Belirtilen ilk 10 basit parola dışında ülkemizde de yoğun olarak futbol takımları, şehirler, yemekler, TC kimlik numaraları, il plakaları, aile bireyleri doğum tarihleri vb. kolaylıkla tahmin edilebilir parolalar veya halihazırda zaten saldırı sözlük listelerinde yer alan parolaların tercih edildiğini yaptığımız simülasyon çalışmalarında da görüyoruz.

    Parola oluşturulurken kullanılan tarihler incelendiğinde; 1900 - 2020 yılları aralığında en popüler olarak kullanılan yıllar; 2010, 1987 ve 1991'i ilk üçte görüyoruz. 1940'tan 1990'a kadar istikrarlı bir artış devam ederken, bundan sonraki tarihler için bir düşüş görülüyor fakat yine 2004'ten 2010'a kadarki yılların kullanımında tekrar bir yükseliş görülmekte.

    Parolalarda dünyada kullanılan en popüler isimler; Eva, Alex ve Anna iken Türkiye'de ise Mustafa, Zeynep ve Mehmet yer alıyor.

    Parolalarda kullanılan en popüler spor kulüpleri; (Phoenix) Suns, (Miami) HeatLiverpool, Arsenal ve Chelsea iken Türkiye'de Galatasaray, Fenerbahçe ve Beşiktaş yer alıyor.

    Parolalarda kullanılan en popüler şehirler; Abu (Dhabi), Rome, Lima ve Hong (Kong) ilen Türkiye'de İstanbul ve Ankara yer alıyor.

    Parolalar Hakkında Bazı İstatistikler;
    • Çalışanların %51'i kurumsal ve kişisel hesapları için aynı parolayı kullanıyor.
    • Çalışanların %69'u parolalarını iş arkadaşlarıyla paylaşıyor.
    • Çalışanlar parolalarını değiştirdiklerinde, ortalama 13 kez aynı parolayı tekrar kullanıyor.
    • Tekrarlı ve eski parola kullanımından dolayı her beş kişiden ikisinin parolası ele geçirildi.
    • İnsanların %50'si tüm hesapları için aynı parolayı kullanıyor.
    • İnternet kullanıcılarının yalnızca %31,3'ü parolalarını yılda 1 veya 2 kez güncelliyor.
    • Veri ihlallerinin %80'i zayıf parola kullanımından kaynaklanıyor.
    • İnternet kullanıcılarının %90'ı parolasının çalınmasından endişe duyuyor.
    • İnsanların %53'ü parolalarını akıllarında tutuyor.
    • 123456 parolası 23 milyondan fazla kişi tarafından aktif olarak kullanılıyor.
    • 15 milyar parolada yapılan analizlere göre genel parolalar 8 karakter veya daha kısa karakterden oluşmaktadır.
    • Her 11 saniyede bir işletme fidye yazılımı saldırısına uğruyor.
    • 18 - 24 yaş aralığındaki gençlerin %76'sı parola güvenliğine dikkat etmiyor.

    Güvenli bir parola oluşturmak için dikkat edilmesi gerekenler;
    • En az 16 karakterden oluşmalıdır.
    • Büyük küçük harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir.
    • Parola girilen alan kabul ediyorsa muhakkak Türkçe karakter içermelidir.
    • Önemli hesaplar ve giriş alanlarında daha sıkça, 3 ay - 6 ay veya en çok 12 ay içerisindeki periyotlarda mutlaka değiştirilmelidir.
    • Parolalar değiştirildikten sonra tekrar kullanılmamalıdır.
    • Her hesap için ayrı bir parola oluşturulmalıdır, aynı parola farklı giriş alanlarınızda kullanılmamalıdır.
    • Çok adımlı doğrulama etkinleştirilmelidir. SMS yerine mümkünse OTP - sistemleri tercih edilmelidir.
    • Parolalarınızı saklamak için kullanımınıza en uygun olan Parola Yöneticisi programlar araştırılmalı ve tercih edilmelidir.

    FortiOS ve FortiProxy'de Kritik Zafiyet

    Fortinet'in arka arkaya tespit edilen zafiyetleri ve bunlara bağlı siber olay haberleri bir türlü gündemimizden düşemiyor. Fortinet, FortiOS ve FortiProxy'yi etkileyen ve uzaktan erişim olanağı sağlayan kritik bir zafiyetinde bulunduğu 15 güvenlik açığını gidermek için düzeltmeler yayınladı.

    Uzaktan erişim imkanı sağlayan zafiyet CVE-2023-25610 referans numarası ile takip edilebilir. Fortinet, FortiOS ve FortiProxy yönetim arabirimindeki buffer underflow (arabellek altaşımı) zafiyeti sebebiyle kimliği doğrulanmamış bir saldırganın cihazda rastgele kod yürütmesine ve/veya özel hazırlanmış istekler aracılığıyla GUI'de bir DoS gerçekleştirmesine izin verebileceğini açıkladı.

    Underflow veya Buffer Underruns olarak da adlandırılan hatalar, giriş verilerinin alandan daha kısa olduğu zaman ortaya çıkar ve sistemin öngörülemeyen davranışlarda bulunmasına imkan sağlar.


    FortiOS ve FortiProxy etkilenen sürümler;

    FortiOS 7.2.0 - 7.2.3
    FortiOS 7.0.0 - 7.0.9
    FortiOS 6.4.0 - 6.4.11
    FortiOS 6.2.0 - 6.2.12
    FortiOS 6.0'ın tüm sürümleri
    FortiOS 5.x'in tüm sürümleri
    FortiProxy 7.2.0 - 7.2.2
    FortiProxy 7.0.0 - 7.0.8
    FortiProxy 2.0.0 - 2.0.11
    FortiProxy 1.2'nin tüm sürümleri
    FortiProxy 1.1'in tüm sürümleri

    Düzeltilmiş sürümler FortiOS için; 6.2.13, 6.4.12, 7.0.10, 7.2.4, 7.4.0 veya üst sürümleri.
    Düzeltilmiş sürümler FortiProxy için; 2.0.12, 7.0.9, 7.2.3 veya üst sürümleri.

    Fortinet henüz herhangi bir kötü niyetli istismar girişiminden haberdar olmadığını(!) söyledi fakat bu tür kritik zafiyetlerin ortaya çıktıktan hemen sonra saldırılarda kullanılmaya başlanıp, hızlıca bir istismar gerçekleştiği günümüzün kaçınılamayan bir gerçeği halinde, bu yüzden hızlıca yamaların yapılmasını öneririz.

    Geçici çözüm olarak Fortinet, HTTP/HTTPS yönetici arayüzünü devredışı bırakılmasını veya erişen IP adreslerinin kısıtlanmasını öneriyor.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Veeam Backup'ta Yüksek Düzeyli Zafiyet

    Veeam Software, yaygın kullanılan Veeam Yedekleme ve Kopyalama ürününde yüksek öneme sahip bir zafiyet için güncelleme yayınladı. Kimlik bilgilerinin sızdırılmasına olanak sağlayan zafiyet CVE-2023-27532 referans numarası ile takip edilebilir.

    Zafiyet, Veeam.Backup.Service.exe (TCP 9401) servisi tetiklenerek ortaya çıkmaktadır. Veeam Backup & Replication bileşeninde kimliği doğrulanmamış bir kullanıcı yapılandırma veritabanında depolanan ana sistem kimlik bilgilerinin alınmasına olanak sağlar. Bunun sonucunda Veeam Backup tarafından yönetilen ana sistemlere ve cihazlara erişim sağlayabilir. Açık olan TCP 9401 portuna erişim ile kullanıcı doğrulamasına ihtiyaç olmadan kimlik bilgileri çalınabilir, bu kullanıcı adı ve parolalar ile iç ağda yatay (yanal) hareketler gerçekleştirilerek farklı sistemlere geçiş yapılabilir.

    V12 (12.0.0.1420 P20230223) ve V11a'dan (11.0.1.1261 P20230227) önceki sürümler savunmasız durumdadır. Öncellikle versiyonunuzu bu sürümlere güncelleyip, yamayı devamında gerçekleştirmeniz gerekiyor.
    V12 Yamaları ve V11a Yamaları

    Henüz güncelleme veya yama uygulayamayan şirketler için ise, Veeam tarafından TCP 9401 portuna erişimin kısıtlanması önerilmiştir.


    Güvenli erişim, erişim kısıtlamalarının kolay yönetimi konularında çözüm sunduğumuz yeni ZTNA çözümümüz TINA ISOLATOR hakkında detaylı bilgi ve sunum için Bizi arayın: 0216 450 25 94  [email protected]

    Microsoft Outlook'ta Kritik Zafiyet

    Microsoft Outlook'ta geçtiğimiz haftalarda yayınlanan "Salı Yamaları" ile birlikte ciddi seviyede kritik bir zafiyet ortaya çıktı.

    Zafiyet ile saldırganların bir e-posta göndererek karşıdaki kullanıcının parola hash'lerini çalabildikleri ortaya çıktı.

    Parola hash'lerinin çalınmasına olanak sağlayan zafiyet CVE-2023-23397 referans numarası ile takip edilebilir. Zafiyetin tetiklenmesi için bir kullanıcı aksiyonuna gerek yoktur, Outlook'un açık olması ve hatırlatıcının tetiklenmesi yeterlidir, bu yüzden çok ciddi bir zafiyettir.


    Outlook saldırısına sebep olan NTLM aslında bilinen ciddi bir risk konusu oluşturmaktadır.
    Windows NTLM, hash bilgileriyle etki alanlarında oturum açmak için kullanılan bir kimlik doğrulama yöntemidir. NTLM bilinen risklerle gelse bile, eski sistemlerle uyumluluğu sürdürebilmek için yeni sistemlerde de kullanılmaya devam etmektedir, risklerinden ötürü Kerberos gibi protokoller tercih edilmektedir.

    Microsoft, ayrıca  bir saldırgan tarafından kontrol edilen SMB (TCP 445) paylaşımına UNC yolu ile MAPI özelliğine sahip bir mesaj göndererek NTLM hashlerinin ele geçirebileceğini açıkladı.

    2022 yılında da aktif olarak kullanılan zafiyet birçok saldırgan grup tarafından kurumsal ağlara sızmak ve ağda yatay (yanal) hareket etmek için Kamu, Ulaşım, Enerji ve Askeri alanlarda kullanıldığı düşünülmektedir. Açık, Ukrayna CERT ekibi tarafından tespit edilip, Microsoft'a bildirilmiştir. 

    Outlook Android, iOS ve MacOs sürümleri etkilenmemekte, sadece Microsoft yazılımları etkilenmektedir;

    Microsoft Outlook 2016 (64-bit edition)
    Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
    Microsoft Outlook 2013 RT Service Pack 1
    Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
    Microsoft Office 2019 for 32-bit editions
    Microsoft 365 Apps for Enterprise for 32-bit Systems
    Microsoft Office 2019 for 64-bit editions
    Microsoft 365 Apps for Enterprise for 64-bit Systems
    Microsoft Office LTSC 2021 for 64-bit editions
    Microsoft Outlook 2016 (32-bit edition)
    Microsoft Office LTSC 2021 for 32-bit editions

    Microsoft, zafiyetten etkilenen e-postaları tespit etmek için de bir powershell scripti yayınladı. Hızlıca gerekli yamaların yapılması önerilmektedir.

    Bitcoin ATM'si Hacklendi

    General Bytes, 40'tan fazla kripto para alım satım imkanını sağlayan Bitcoin ATM'lerinin üreticisidir, geçtiğimiz günlerde saldırganların BATM yönetim arayüzündeki sıfırıncı gün zafiyeti kullanılarak şirketten ve müşterilerden kripto para çalındığını açıkladı.

    Saldırganlar Digital Ocean üzerindeki IP adres alanını tarayarak General Bytes'a ait sunucuların ve ATMlerin 7741 nolu portunda çalışan CAS hizmetini belirledi ve tespit edilen BATM-4780 olarak referans edilen sıfırıncı gün zafiyetinden faydalandı.

    Zafiyetten faydalanan saldırganlar; veri tabanına erişim, API anahtarlarını okuma ve şifrelerini çözme, sıcak cüzdanlardan para gönderimi, kullanıcı adları ve parola içeren hash bilgilerini sızdırma ve terminal loglarına erişim gibi oldukça kritik özellikleri gerçekleştirebilir hale geldi.

    Şu ana kadar çalındığı tespit edilen kripto para miktarı henüz 1.6 milyon dolar. Üretici, müşterilerini hızlıca CAS parolaları ve API anahtarlarını yenilemeleri konusunda uyardı.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    08 Mart 2023

    Siber Güvenlik Bülteni - Şubat 2023

     

    Bültenimizin Şubat Ayı konu başlıkları; 
      • FortiNAC ve FortiWeb Güncellemeleri
      • Carbon Black App Control Kritik Zafiyeti
      • GoDaddy Güvenlik İhlali
      • GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

      FortiNAC ve FortiWeb Güncellemeleri

      Siber güvenlik çözümleri şirketi Fortinet, FortiNAC ve FortiWeb ürünleri için kimliği doğrulanmamış saldırganların; kullanıcı adı veya parola gereği olmaksızın, uzaktan kod çalıştırmasına izin veren iki önemli zafiyet için güvenlik güncellemeleri yayınladı.

      FortiNAC ürününü etkileyen zafiyet CVE-2022-39952 referans numarası ile takip edilebilir, etkilenen ürün sürümleri;

      FortiNAC 9.4.0 sürümü
      FortiNAC 9.2.0 ila 9.2.5 sürümleri
      FortiNAC 9.1.0 ila 9.1.7 sürümleri
      FortiNAC 8.8 tüm sürümler
      FortiNAC 8.7 tüm sürümler
      FortiNAC 8.6 tüm sürümler
      FortiNAC 8.5 tüm sürümler
      FortiNAC 8.3 tüm sürümler

      FortiNAC 9.4.1 ve üzeri, 9.2.6 ve üzeri, 9.1.8 ve üzeri ve 7.2.0 ve üzeri sürümlerde düzeltildiği belirtilmiştir.

      FortiWeb ürününü etkileyen zafiyet CVE-2021-42756 referans numarası ile takip edilebilir, etkilenen ürün sürümleri;

      FortiWeb 5.x tüm sürümleri
      FortiWeb 6.0.7 ve altı sürümler
      FortiWeb 6.1.2 ve altı sürümler
      FortiWeb 6.2.6 ve altı sürümler
      FortiWeb 6.3.16 ve altı sürümler
      FortiWeb 6.4 tüm sürümleri

      FortiWeb 7.0.0 veya sonraki sürümlerine, 6.3.17 veya sonraki sürümlerine, 6.2.7 veya sonraki sürümlerine, 6.1.3 veya sonraki sürümlerine ve 6.0.8 veya sonraki sürümlerine yükseltilmesi gerekliliği belirtilmiştir.

      Zafiyetler ile alakalı gerekli güncellemeler dışında, geçici herhangi bir öneri bulunmamaktadır, hızlıca güncellemeler planlanıp, uygulanmalıdır. FortiWeb'i etkileyen zafiyetin referans numarasından anlaşıldığı üzere 2021 yılında çıkan zafiyet henüz kapatılabilmiştir, bu süre zarfında olağan ihlaller göz önünde bulundurulmalıdır.

      Carbon Black App Control Kritik Zafiyeti

      VMwareCarbon Black App Control Windows versiyonlarının çeşitli sürümlerini etkileyen kritik bir zafiyet için güncelleme yayınladı. Şirket bu zafiyetin temel işletim sistemine erişim elde etmek için kullanılabileceği konusunda uyardı.

      Carbon Black App Control, şirketlerin uç noktalarının yalnızca güvenilir ve onaylanmış yazılımları kullanmalarına imkan sağlayan bir üründür.

      CVE-2023-20858 referans numarası ile takip edilen zafiyet, App Control yönetim konsoluna ayrıcalıklı erişimi olan bir saldırganın, özel hazırlanmış girdi ile işletim sistemine erişmesine izin vermektedir. Bu sayede uç sistemlerin ve zafiyetli tüm istemcilerin tamamen ele geçirmesine yol açabilir.

      CVE-2023-20858 zafiyetinden etkilenen sürümler;

      8.7.x
      8.8.x
      8.9.x

      Carbon Black App Control 8.9.4, 8.8.6 ve 8.7.8 sürümlerine yükseltilmesi gerekir.(https://www.vmware.com/security/advisories/VMSA-2023-0004.html)

      Üretici şirket, dolaylı bir çözüm veya kaçınma tavsiyesi vermemiştir, tek çözüm olarak güncellemelerin hızlıca planlanıp uygulanması gerekmektedir.

      GoDaddy Güvenlik İhlali

      Web hosting sağlayıcısı GoDaddy, kaynağı belli olmayan uzun süreli bir saldırı aldığını, bu saldırıda kaynak kodlarının çalındığını ve sunucularına zararlı yazılım yüklendiği bir ihlale maruz kaldığını belirtti.


      GoDaddy saldırıları ilk olarak Aralık 2022'de bazı müşteri sitelerinin rastgele alanadlarına yönlendirilmek için kullanıldığını fark etti, fakat daha sonra saldırganların şirket ağına birkaç yıl boyunca izinsiz erişim sağladıkları anlaşıldı.

      Şirket, daha önce Kasım 2021 ve Mart 2020'de açıkladığı ihlallerin de bu saldırı ile bağlantılı olduğunu belirtiyor. Kasım 2021'de saldırganlar güvenliği ihlal edilmiş bir parola ile GoDaddy'nin Wordpress hosting ihlali sonrasında 1.2 milyon Wordpress müşterisi etkilenmişti. Mart 2020'de ise saldırganların web hosting kimlik bilgilerini SSH yoluyla hosting hesaplarına bağlanmak için kullandığı konusunda 28.000 müşterisini uyarmıştı.

      Şirket, yaptığı araştırmalarda saldıran grubun farklı hosting firmalarını da hedeflediği konusunda uyarıda bulundu. Saldırganların bu ihlal ile amaçlarının kimlik avı kampanyaları, zararlı yazılım dağıtımı ve illegal faaliyetler için sunuculara ve web sitelerine zararlı yazılım bulaştırmak olduğu düşünülüyor.

      GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

      ABD'deki en büyük hastane zincirlerinden birisi, siber saldırganların GoAnyWhere MFT yazılımındaki bir güvenlik açığından faydalanarak 1 Milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi. 

      GoAnyWhere MFT, yönetilebilir dosya transfer ürünüdür.

      Güvenlik zafiyeti CVE-2023-0669 referans numarası ile takip edilebilir. Üretici, ürünün normal şartlarda dışarıdan erişime kapalı olması gerektiği ve zafiyetten etkilenenlerin ürün yönetim konsolunu dışarı açtıkları için ihlal yaşadıklarını belirtiyor. 

      Clop fidye zararlı yazılım grubu ise, bu zafiyetten faydalanarak 130'dan fazla şirketten verilerini çaldıklarını iddia ediyor. Hızlıca yapılan bir tarama ile 136 şirketin ürününe dışarıdan erişimin açık olduğu görülüyor.

      CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) ise ABD federal kurumlarına 3 Mart'a kadar yama yapmaları konusunda emir verdi.

      01 Mart 2023

      En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA

      ZTNA (Zero Trust Network Access) Nedir?

      Kurumun sahip olduğu sunuculara, uygulamalara ve servislere gerçekleştirilen uzaktan erişimlerin, erişim kontrol politikaları ile net olarak çizgilerinin belirlenebildiği ve erişime bağlı risklerin düşürüldüğü bir IT güvenlik çözümüdür.



      Bu yazımızda ZTNA'nın nasıl doğduğunu ve hangi sorunlara çözüm getirdiğini güncel ihtiyaçları anlatarak açıklamaya çalışacağız.


      Sunucu Konumlarının Değişim İhtiyacı

      Genişleyen iç ağlar; iç ağda IP trafiği olan donanımların kamera, telefon, terminal vb. cihazların artması, mobil / tablet / taşınabilir uç noktaların artması, farklı işletim sistemlerindeki artış vb. sistemsel çeşitlilikteki artışların bir sonucu olarak iç ağ trafiğinde ve risklerinde de artış doğurmuştur.

      Geçmiş dönemlerde ağ topolojilerinde sistemlerin tamamı iç ağda barındırılmaktayken, son dönemlerde ise sunucular, servisler ve uygulamalarda kullanıma bağlı artan ihtiyaçları dolayısıyla topolojiler de şekil değiştirmeye başlamıştı.

      İç ağdaki yükü hafifletmesinin yanı sıra, sistemlerin sağlıklı çalışması için ihtiyaç duyulan daha uygun altyapı, düşük maliyet, ortam performansı, bakım ve müdahale desteği gibi çeşitli gereksinimlerden ötürü uzunca bir zamandır "Veri Merkezi" (Data Center - DC) ortamlarına taşınıldığını ve halen taşınmaların devam ettiğini gözlemlemekteyiz.

      DC ortamına taşınan sistemler, kurumun tüm kullanıcılarına yönelik erişim sunarken; hem kurum içi ağdan erişen kullanıcıların, hem de kurum ağı dışından erişen kullanıcıların bulunması ile sabit kuralların değişmesi, dinamik değişen kurallar ile yönetimler gerekti. Kurum lokasyonunun dışında durmasına karşın, kurum ağının uzantısı olduğundan ve değişik ihtiyaçlarından ötürü, yine kurumca yakından takip edilmesi ve yönetilmesi gereken bir konu olmasına yol açtı.

      Pek çok DC'nin, barındırılan sistemlerin yönetimi için yönetim yazılımları ve/veya yönetim destekleri, uyguladıkları belirli erişim kural setleri olsa da, bunlar ile kurumların dinamik veya kuruma göre farklılaşan ihtiyaçlarını karşılamaları, anlık çözümler getirmeleri pek mümkün olamamaktadır.

      Sunucu, servis ve uygulamalara, sadece belirlenmiş kurumsal iç ağdan erişim ihtiyacının dışına çıkılmış olması, birden çok, farklı farklı ağ alanlarından; 

      • kurum iç ağından doğrudan erişim
      • VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
      • İnternet üzerinden herhangi bir uç noktadan direkt erişim

      şeklinde erişimlerin olması, kontrolü ve sınırlandırılması daha zor, dağınık bir erişim yönetimi tablosunu ortaya çıkardı.


      Dağınık Erişim Konumlarında Yönetim İhtiyacı

      Tam olarak da bu noktada, çalışmaların daha dağınık yapılarda yürütülmesi, ZTNA yaklaşımını beraberinde getirdi.


      Kurumların diğer kurumlar ile olan dijital çalışma ihtiyaçlarındaki artış; sunucuların, servislerin, uygulamaların kurum tedarikçilerinin, bayilerinin ve müşterilerinin kullanımına açılmasını kaçınılamaz hale getiriyor.

      Sistemler büyük çoğunlukla IT yöneticisi tarafından kuruma özgün politikalar ile, kullanım ihtiyaçlarına göre değişken şekilde en başarılı halde yönetilmekteler.

      Dağınık alanlarda ve kurumlarda kullanıcı erişiminin olması, farklı kurumlarda farklı kalitede politikaların yürütülmesi, esnek erişim ihtiyaçları, neredeyse tüm İnternet üzerinden erişilebilir halde hizmet verilmesi anlamına gelmeye başlasa da, tam olarak bu aşamada ZTNA devreye giriyor ve bu çözüm sayesinde artık kontrolsüz, sınırsız erişim olmadan da güvenli erişim ve yönetim sağlanabiliyor.


      ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

      ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.



      Keskin sınırlamaların uygulanmasından, çok esnek erişim uygulanması durumlarına kadarki tüm yönetim düzeylerinde ZTNA çözümleri hem bir yönetici çözüm, hem de riski azaltıcı faktör olarak destek veriyor.

      Erişimin hangi kurallar ile gerçekleştirilebileceği, hangi servisin hangi kullanıcıya, hangi zaman diliminde hizmet vereceği vb. esnetilebilen, seçilebilen, kullanıcıya, servise göre çeşitli kombinasyonlarla belirlenebilen yönetim politikaları, ilgili sunucu, uygulama, servis'e erişimden önce kullanıcı doğrulaması gereksinimi ile de bütünleşince, ZTNA çözümleri tüm İnternet'e açık kalan sistemleri eskisinden de güvenli hale getirdi.


      YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

      TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/) 

      TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.


      Dene ve Al Stratejisini Öneriyoruz

      Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.


      TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

      Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

      E-posta ile: [email protected]

      Online Tanıtım randevunuzu buradan da başlatabilirsiniz.

      23 Şubat 2023

      Siber Güvenlik Bülteni - Ocak 2023

       

      Bültenimizin Ocak Ayı konu başlıkları; 
        • Ransomware, VMware ESXi Sunucularını Vuruyor
        • Fortinet Kullanan Kamu Kurumları Dikkat!
        • Yandex Kaynak Kodları Sızdırıldı
        • F5 BIG-IP Cihazlarında Yüksek Zafiyet

        Ransomware VMware ESXi Vuruyor

        Fransız Siber Olaylara Müdahele Ekibi (CERT-FR), saldırganların fidye yazılımı saldırıları için VMware ESXi sunucularını hedeflediği konusunda uyarıda bulundu. CERT-FR, saldırganların bu saldırıda CVE-2021-21974 referanslı güvenlik açığını kullandığını bildirdi.

        Bu zafiyet; OpenSLP'de bulunan yığın taşması (heap-overflow) zafiyeti içermektedir. ESXi ile aynı ağda bulunan ve 427 numaralı porta erişimi olan saldırgan bu zafiyeti tetikleyerek uzaktan kod yürütümesine olanak sağlayabilir.

        Etkilenen Sistemler;
        • ESXi70U1c-17325551'den önceki ESXi 7.x versiyonları 
        • ESXi670-202102401-SG'den önceki ESXi 6.7.x versiyonları
        • ESXi650-202102101-SG'den önceki ESXi 6.5.x versiyonları

        Yapılacaklar;
        • Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişim izni vermek (https://kb.vmware.com/s/article/76372)
        • ESXi versiyonunu en son sürüme güncellemek
        • Verileri erişilemez şekilde yedeklemek
        • Güvenilir IP adreslerine gerekli servislerin ACL ile filtrelemek
        • Anomali davranışlarını takip etmek

        Fortinet Kullanan Kamu Kurumları Dikkat!

        Fortinet araştırmacıları, saldırganların yakında zamanda yamalanan FortiOS SSL-VPN (CVE-2022-42475) zafiyetini kullanarak kamu kurumlarına siber saldırı yaptığını belirtti. Bu zafiyet, yığın taşmasına sebep olarak uzaktan kod çalıştırmaya olanak sağlamaktadır.

        Zafiyet FortiOS 7.2.3'ün yayınlaması ile kapatıldı, fakat henüz güncelleme yapılmamış çok sayıda sistem de mevcut.

        Belirtilen zafiyetin daha önce de Dark Web üzerinden dağıtılarak, hedef ağlar üzerinde izinsiz erişim için kullanıldığı bilinmektedir. Zararlı yazılım ile aynı zamanda; tespitlerden kaçınmak için günlük kayıtlarını silme, engelleme, manipüle ve gerçekleştirilen işlemlere veri enjekte edebilmektedir.
         

        Yandex Kaynak Kodları Sızdırıldı

        Yandex kaynak kodları illegal bir forum sitesinde paylaşıldı. Paylaşılan verilerin Temmuz 2022'de ele geçirildiği ve 44.7 GB olduğu bilgisi paylaşıldı. Yandex herhangi bir hacklenme vakası olmadığını, eski bir çalışanın verileri sızdırdığını iddia etti.

        Kodları Sızdırılan Yandex Ürünleri;

        Yandex Arama Motoru ve İndeksleme Botu
        Yandex Haritalar
        Alice
        Yandex Taxi
        Yandex Direct
        Yandex Mail
        Yandex Disk
        Yandex Market
        Yandex Travel
        Yandex360
        Yandex Bulut
        Yandex Pay
        Yandex Metrika

        Yandex kodların ana kodlar ile uyum sağlamadığını dile getirsede farklı güvenlik ve yazılım uzmanları büyük benzerlik olabileceğini ve bu kodlar sayesinde yeni zafiyetlerin keşfedilebileceğini dile getirdi.

        F5 BIG-IP Cihazlarında Yüksek Zafiyet

        Kurumsal güvenlik uzmanı ve ağ ürünleri şirketi olan F5 ürünleri üzerinde yüksek zafiyet tespit edildi. F5 BIG-IP cihazlarını etkileyen yüksek dereceli zafiyetler DoS saldırısına ve uzaktan kod yürütmeye olanak sağlamakta.

        iControl SOAP arayüzünden kaynaklanan zafiyet, saldırganın iControl SOAP CGI sürecinin etkilenmesine ve uzaktan rastgele kod yürütmeye olanak sağlamaktadır. Zafiyet CVE-2023-22374 kodu ile takip edilebilir.

        Geçici bir çözüm olarak şirket; kullanıcıların iControl SOAP API'ye erişimi yalnızca güvenilen kullanıcıların erişimine kısıtlamasını önerdi.

        Etkilenen BIG-IP Sürümleri

        13.1.5
        14.1.4.6 - 14.1.5
        15.1.5.1 - 15.1.8
        16.1.2.2 - 16.1.3 ve
        17.0.0

        Popüler Yayınlar