Siber Güvenlik Bülteni - Ocak 2024

 

Bültenimizin Ocak Ayı konu başlıkları;  Ivanti Connect Secure Sıfırıncı Gün Zafiyeti GoAnywhere MFT Auth Bypass 2023 Yılının Popüler Siber Saldırıları Tarihin En Büyük Veri Sızıntısı

Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı. İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir. Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler. Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi. Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor. Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir. Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor. 2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı. Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir). Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

GoAnywhere MFT Auth Bypass

Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor. CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir. Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi. 7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler. Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir. CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi. Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor. Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir. CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023 Yılının Popüler Siber Saldırıları

Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor. Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar: Yöntemlerini otomatikleştirmek Yöntemlerini geliştirmek Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır. Siber Saldırı Türlerinin Genel Olarak Bilinenleri: Kötü Amaçlı Yazılım (Malware) Kimlik Avı (Phishing) Servis Dışı Bırakma (DoS) Dağıtık Servis Dışı Bırakma (DDoS) Orta Adam Saldırısı (MitM) SQL Enjeksiyonu Cross-Site Scripting (XSS) Zero-Day Saldırıları Gelişmiş Kalıcı Tehditler (APTs) Fidye Yazılımları (Ransomware) IoT (Nesnelerin İnterneti) Sömürüsü Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Tarihin En Büyük Veri Sızıntısı

Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor. Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi. 26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir. Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor. Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır. Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir. Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler. Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler. Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Aralık 2023

 

Bültenimizin Aralık Ayı konu başlıkları;  Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler MongoDB'de Veri Sızıntısı İsrail - İran Siber Savaş Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

Birleşik Krallık merkezli siber güvenlik firması Sophos, EOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu. Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti. Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor. Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor. Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur. Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor. 6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır. Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

MongoDB'de Veri Sızıntısı

MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor. MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor. "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor: "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ." Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor. Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir. Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor. Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar. Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

İsrail - İran Siber Savaş

Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor. İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor. Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti. İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti. Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor. Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti. "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı. Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti. Neden Yapıldı? Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor. Sektörel Hedeflenme ve Artan Tehditler: Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor. Öne Çıkan Tehdit Aktörleri: LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor. Bölgesel Dağılım ve Avrupa'daki Artış: Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor. Carbanak'ın Geri Dönüşü: Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı. Önemli Uyarı ve Öneriler: 2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir. Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Kasım 2023

 

Bültenimizin Kasım Ayı konu başlıkları;  Sophos Web Appliance Zafiyetlerine Dikkat Sıfır Güven Yoluyla Uzaktan Çalışanların Güvenliğini Sağlama SAP, Business One Ürününde Kritik Güvenlik Açığı FortiSIEM'de Kritik OS Komut Enjeksiyonu Güvenlik Açığı

Sophos Web Appliance Zafiyetlerine Dikkat

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Sophos Web Appliance'da bilinen bir güvenlik açığından yararlanarak yapılan saldırılara karşı uyarıda bulundu. CISA, 16 Kasım 2023 tarihinde yaptığı açıklamada, Sophos Web Appliance'da bulunan CVE-2023-1671 güvenlik açığından yararlanarak yapılan saldırıların tespit edildiğini bildirdi. Bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, etkilenen cihaz üzerinde rastgele kod çalıştırmasına izin veriyor. Sophos, güvenlik açığını Nisan 2023'te düzeltmek için bir yama yayınlamıştı. Ancak, CISA, güvenlik açığının hala aktif olarak kullanıldığını ve saldırganların bu açığı kullanarak hedef sistemlere erişmeye çalıştığını tespit etti. Sophos, güvenlik açığından etkilenen cihazların 20 Temmuz 2023 tarihinde son kullanım tarihine ulaşacağını duyurmuştu. Bu nedenle, etkilenen cihazların mümkün olan en kısa sürede güncellenmesi gerekiyor. CISA, Sophos Web Appliance kullanan tüm kuruluşların güvenlik açığının farkında olmasını ve gerekli önlemleri almasını tavsiye ediyor. CISA, Sophos Web Appliance güvenlik açığından yararlanarak yapılan saldırıların, genellikle hükümet ve diğer kritik altyapı kuruluşlarını hedef aldığını belirtiyor. Saldırganlar, bu güvenlik açığını kullanarak hedef sistemlere erişebilir ve bu sistemlerde veri çalmaya, kötü amaçlı yazılım yüklemeye veya sistemi tamamen ele geçirmeye çalışabilirler. Önlemler Sophos Web Appliance kullanan kuruluşların, aşağıdaki önlemleri alarak güvenlik açığından korunmalarını sağlayabilirler: Sophos'un güvenlik açığı için yayınladığı yamayı hemen yükleyin. Etkilenen cihazları 20 Temmuz 2023 tarihinden sonra desteği bittiği için ağınızda bulundurmayın. Ağınızı düzenli olarak tarama yaparak güvenlik açıklarını tespit edin. Güçlü parolalar ve iki faktörlü kimlik doğrulama kullanın. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Sıfır Güven Yoluyla Uzaktan Çalışanların Güvenliğini Sağlama

Son yıllarda, kurumsal alandaki sıfır güven konsepti, çoğunlukla teorik bir yaklaşımdan gerçek uygulamaya doğru kaymıştır. Bu, güvenlik ekiplerinin uzaktan çalışmaya hızlı geçiş sırasında sunulan güvenlik savunmalarını geliştirdikçe ve güçlendirdikçe mantıklı hale gelmiştir. Birçok organizasyon, her erişim girişimi doğrulandıktan sonra izin verilen sıfır güven modellerine yönelmektedir. Her bağlantı girişimi arkasındaki kimliği doğrulamak, sıfır güvenin amacı olan cihazın güvenli ve kimliğin otantik olup olmadığını kontrol etmek için gereklidir. Kuruluşların uzaktan güvenliği doğru bir şekilde sağlamaları gerekmektedir. Uzaktan çalışanlar, evden, bir kafeden veya göl kenarındaki bir piknik masasından herhangi bir bağlı cihazdan ağlara ve uygulamalara erişmeye çalıştıklarında, geleneksel güvenlik savunmalarından ayrıldıkları için savunmasızdırlar. Kurumsal güvenlik ekiplerinin genellikle bu cihazların ve ağların ne kadar güvenli olduğuna dair görünürlüğü yoktur. Bu gerçekten bilinen ve güvenilen bir geliştirici mi gelişme aşamasına erişmeye çalışıyor? Yoksa bu, o geliştirici gibi görünen birisi mi? Ancak sıfır güvene ulaşmak zordur. Araştırma firması Gartner'a göre, mevcut olarak şirketlerin yüzde 1'inden azında ölçülebilir bir sıfır güven programı bulunmakta; firma, 2026'ya kadar bu sayının yüzde 10'a çıkacağını tahmin etmektedir. Uzaktan çalışanlar için bir sıfır güven stratejisi tasarlarken, ana hedef, uzaktan çalışanlar için sağlam bir güvenlik durumu oluşturarak 'asla güvenme, her zaman doğrula' erişim kontrolü prensiplerini gömmektir. Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

SAP, Business One Ürününde Kritik Güvenlik Açığı

SAP, Business One ürününde kritik bir güvenlik açığını düzeltmek için bir yama yayınladı. CVE-2023-31403  olarak tanımlanan bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, etkilenen sistemde yetkisiz erişime sahip olmasına izin veriyor. Güvenlik açığı, Business One'ın Web Dynpro ABAP bileşeninde ortaya çıkıyor. Bu bileşen, kullanıcıların Business One'daki verilere ve işlevlere erişmesine olanak tanır. Güvenlik açığı, SMB paylaşılan klasörü için uygun kimlik doğrulama ve yetkilendirme kontrollerini gerçekleştirmiyor. Sonuç olarak, herhangi bir kötü niyetli kullanıcı SMB paylaşımlı klasörünü okuyabilir ve yazabilir. SAP, güvenlik açığını düzeltmek için bir yama yayınladı. Etkilenen kullanıcıların, mümkün olan en kısa sürede yamayı yüklemeleri önerilir. Etkilenen Ürünler Bu güvenlik açığı, aşağıdaki Business One sürümlerini etkiliyor: Business One 10.0 SPS 22 Business One 11.0 SPS 22 Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

FortiSIEM'de Kritik OS Komut Enjeksiyonu Güvenlik Açığı

Fortinet, FortiSIEM güvenlik bilgi ve olay yönetimi (SIEM) çözümünde kritik bir güvenlik açığı tespit ettiğini duyurdu. CVE-2023-36553 olarak tanımlanan bu güvenlik açığı, kimliği doğrulanmamış bir saldırganın, etkilenen cihazda yetkisiz komutlar yürütmesine izin veriyor. Güvenlik açığı, FortiSIEM Rapor Sunucusu'nda, kullanıcı girişinin doğru bir şekilde denetlenmemesi, temizlenmemesi veya sınırlanmaması durumunda ortaya çıkıyor. Saldırganlar, bu güvenlik açığından yararlanmak için, FortiSIEM API'sini kullanarak özel olarak hazırlanmış komut dosyaları gönderebilirler. Bu güvenlik açığı veri hırsızlığı, kötü amaçlı yazılım yükleme ve sistem ele geçirme gibi eylemlere olanak sağlamaktadır. Fortinet, güvenlik açığını düzeltmek için bir yama yayınladı. Etkilenen kullanıcıların, mümkün olan en kısa sürede yamayı yüklemeleri önerilir. Etkilenen Ürünler Bu güvenlik açığı, aşağıdaki FortiSIEM sürümlerini etkiliyor: FortiSIEM 5.4 tüm sürümler FortiSIEM 5.3 tüm sürümler FortiSIEM 5.2 tüm sürümler FortiSIEM 5.1 tüm sürümler FortiSIEM 5.0 tüm sürümler FortiSIEM 4.10 tüm sürümler FortiSIEM 4.9 tüm sürümler FortiSIEM 4.7 tüm sürümler

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Ekim 2023

 

Bültenimizin Ekim Ayı konu başlıkları;  Cisco 0. Gün Zafiyeti Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri VMware Kritik vCenter Zafiyetini Yamaladı NSA ve CISA'dan En Önemli 10 Yanlış Yapılandırma

Cisco 0. Gün Zafiyeti

Cisco aktif olarak istismar edilen IOS XE yazılımını etkileyen kritik bir kusur hakkında kullanıcılarını uyardı. Web kullanıcı ara yüzünden kaynaklanan zafiyeti CVE-2023-20198 referans numarası ile takip edebilirsiniz, ayrıca zafiyet CVSS'de maksimum puan olan 10.0 üzerinden derecelendiriliyor. Zafiyet, Cisco IOS XE yazılımını çalıştıran ve aynı zamanda HTTP veya HTTPS sunucu özelliği etkinleştirilmiş olan hem fiziksel hem de sanal cihazları etkilemektedir. Önlem olarak, internete bakan sistemlerde HTTP sunucusu özelliğinin devre dışı bırakılması önerilir.  Cisco zafiyeti ilk olarak 18 Eylül 2023'te kimliği belirsiz bir müşteri cihazında, yetkili bir kullanıcının şüpheli bir IP adresinden "cisco_tac_admin" kullanıcı adı altında yerel bir kullanıcı hesabı oluşturduğu kötü amaçlı etkinlik tespitinden sonra keşfettiğini söyledi. 12 Ekim 2023'te tespit edilen ikinci bir ilgili etkinlik kümesinde, yetkisiz bir kullanıcı, farklı bir IP adresinden "cisco_support" adı altında bir yerel kullanıcı hesabı oluşturdu. İlk belirlemelere göre zafiyetin kullanıldığı ve arka kapı oluşturulan 41.983 sistem tespit edildi. Cisco gerekli yamaları yayınladı, uzmanlar ise birçok kurumun yama yayımlansa bile yamayı uygulamayı gerçekleştirmediğini, bu yüzden bu zafiyetin uzun süreler boyunca aktif olarak istismar edileceğini belirtiyor. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Kurumların 0 Güven (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri

Tehdit aktörleri, eğer para kazanabileceklerine ve yakalanmadan bu işten sıyrılabileceklerine inanıyorlarsa, ne kadar büyük ya da ne kadar küçük olursa olsun farketmeksizin, her türlü işletmeyi gerçekten hedef alacaklardır. Kritik kurumlar (Altyapı, Enerji, Finans, E-Ticaret, Büyük Kamu vs.) genellikle kendilerini siber saldırılara karşı korumak için gerekli güvenlik ekiplerine, şirket içi bilgi paylaşımlarına ve becerilere veya pahalı ve gelişmiş güvenlik ekipmanlarına sahipken, orta ve küçük ölçekli şirketler için bu durum çoğu zaman geçerli değildir. Sonuç olarak, orta ölçekli işletmeler savunmasız kalmakta ve kuruluşlarını dijital ortamda gerektiği gibi savunamamaktalar. Forbes'ın 2022 tarihli bir araştırmasında; küçük ve orta ölçekli işletmelerin (KOBİ'lerin) "siber suçlular tarafından hedef alınma olasılığının büyük şirketlere kıyasla üç kat daha fazla" olduğunu gösteriyor. Bu ölçekteki kurumlar hedeflenirken, saldırılar genel olarak şu noktalara odaklanırlar;  Tedarik Zinciri Saldırıları  Oltalama Saldırıları  Gelişmiş Kalıcı Ataklar (APT)    "0 Güven" (Zero Trust) Mimarisine Neden İhtiyaç Duyuluyor    1. Geleneksek güvenlik modellerine bağımlı olmak şirketleri dışarıdan gelecek saldırılara karşı savunmasız hale getirmekte.  2. Ağda, çalışanların gereğinden fazla erişim sahibi olması kasıtlı yada kasıtsız iç tehditlere zemin hazırlamakta.  3. Yetersiz erişim kontrolünün olması uygulama ve hizmetlere erişim konusunda büyük tehlike doğurmakta.  4. Kaynak yetersizliği, düzenli bakım ve takibi zorlaştırmakta.  5. Oluşan tehditlere karşı yavaş tepki verilmesi tahribatın ölçeğini artırmakta.  6. Uzaktan çalışma ile birlikte çalışanların dışarıdan erişim ihtiyacı esnekliğe sebebiyet vermekte.  7. İş ortaklarının da ağa dahil olma ihtiyacı ile erişim kontrolü daha zor sağlanmakta.  8. Giderek artan veri sızdırma olayları görülmekte.  9. Güvenlik yaklaşımı proaktif yerine reaktiftir, bu da siber vakaların gerçekleşmesinden sonra müdahale anlamına gelir ki bu çok pahalıdır ve daha geniş düzeyde zarar vermekte.  10. Son dönemlerde VPN gibi dışarıya açık olan hizmetler saldırıya daha sık maruz kalmakta. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

VMware Kritik vCenter Zafiyetini Yamaladı

VMware, vCenter zafiyeti için etkilenen sistemlerde uzaktan kod yürütülmesine neden olabilecek kritik bir zafiyeti gidermek için güvenlik güncellemeleri yayınladı. CVE-2023-34048 referans numarası ile takip edilen zafiyet, DCE/RPC protokolünün sınır dışı yazma güvenlik açığı olarak tanımlandı. VMware, eksikliği giderecek herhangi bir geçici çözüm bulunmadığını ve yazılımın aşağıdaki sürümlerinde güvenlik güncellemelerinin sunulduğunu söyledi; VMware vCenter Server 8.0 (8.0U1d or 8.0U2) VMware vCenter Server 7.0 (7.0U3o) VMware Cloud Foundation 5.x and 4.x Bu zafiyeti hedef alan saldırılarda potansiyel olarak şu portlar kullanılmaktadır; 2012/tcp, 2014/tcp, ve 2020/tcp. Zafiyet yamalarına buradan ulaşabilirsiniz. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

NSA ve CISA'dan En Önemli 10 Yanlış Yapılandırma

Amerika Ulusal Güvenlik Ajansı (NSA) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bugün büyük kuruluşların ağlarında kırmızı ve mavi ekipleri tarafından keşfedilen en yaygın on siber güvenlik yanlış yapılandırmasını açıkladı. Paylaşılan belge aynı zamanda tehdit aktörlerinin bu yanlış yapılandırmalardan, erişim kazanmak, yatay hareket etmek ve hassas bilgi veya sistemleri hedeflemek de dahil olmak üzere çeşitli amaçlarla başarılı bir şekilde yararlanmak için hangi taktikleri, teknikleri ve prosedürleri (TTP'ler) kullandığını da ayrıntılarıyla anlatıyor. Bunlar ise özetle; 1. Yazılımların ve uygulamaların varsayılan yapılandırmaları 2. Kullanıcı ve yönetici ayrıcalıklarının hatalı yapılandırılması 3. İç ağın yetersiz takibi 4. Ağ segmentasyonunu eksikliği 5. Yetersiz yama yönetimi 6. Sistem erişim kontrollerinin atlanması 7. Zayıf veya yanlış yapılandırılmış çok faktörlü kimlik doğrulaması (MFA) 8. Ağ paylaşımları ve hizmetlerinde yetersiz erişim kontrol listeleri (ACL) 9. Yetersiz kimlik hijyeni 10. Sınırsız kod yürütme olarak belirtilmiş. Bunlara ek olarak yapılacak bazı güvenlik iyileştirmelerini de ekledi; 1. Varsayılan hesapları ve yapılandırmaları kaldırmak 2. Kullanılmayan hizmetleri servis dışı bırakmak ve sıkı takibini yapmak 3. Düzenli olarak güncellemelerin takibinin yapılması ve yamaların otomatikleştirilmesi, istismar edilen bilinen zafiyetlerin kapatılmasına öncelik verilmesi 4. Hesaplarının ayrıcalıklarının azaltılması, kısıtlanması ve denetlenmesi

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

ISR Bilgi Güvenliği 10 Yaşında!

İyi ki Doğduk...

10 yıl önce (22 Ekim 2013'te) faaliyetlerimizi ISR Bilgi Güvenliği firması adı altında gerçekleştireceğimizi İstanbul Ticaret Odası kanalıyla ülkemizin her yerine duyurmuştuk.

Kafalarımızda pek çok proje ile bir araya gelip yürümeye başladığımız bu yolda genç girişimciler olarak oldukça keyifli ve çalışkanlığımızı ortaya koyduğumuz uzun bir "10 yıl" geride kaldı. (Bknz: Sıfır Almak İçin Çok Çalıştık!)

ISR çatısı altında nice yılları siz sevgili takipçilerimize duyurmayı ve paylaşmayı ümit ettiğimizi belirterek bizi takip eden herkese teşekkürlerimizi sunuyoruz.

10ncu yılımıza özel olarak bazı hatıralarımızı sizinle de paylaşmak istedik:

SIFIR ALMAK İÇİN ÇOK ÇALIŞTIK!

Bu banner'ı 1nci yaşımızda iken hazırlamıştık

1nci yaş banner'ımızı yayına hazırlarken sahip olduğumuz pek çok şey; duyduğumuz o eşsiz heyecan, ARGE'ye olan tutkumuz, bakış açımız hiç değişmedi.

Elbette değişenler de oldu; aramızdan ayrılan çalışma arkadaşlarımız, aramıza yeni katılan arkadaşlarımız, tamamen kendimizin geliştirdiği ve emekliye ayırdığımız ürünlerimiz, aramızdan ayrılan "mezun olan" ürünlerimiz, geliştirdiğimiz, ülkemizdeki ilklerden olan inovatif sıfırıncı gün (zero day) teknolojileri, yeni nesil siber savunma ürünlerimiz oldu.

Bunlara tanıklık eden tüm iş ortaklarımıza, müşterilerimize, dostlarımıza, takipçilerimize ve rakiplerimize 20nci yılımızda da aynılarını paylaşmak dileğiyle, Teşekkürler...  

Yaşlandık!

Çoğu çalışmamızda yaptığımız gibi sizlere bilimsel yaklaşımla bunu kanıtlamak istedik;

Kurucu - Genel Müdürümüzün ESKİ HALİ

Kurucu - Genel Müdürümüzün ŞİMDİKİ HALİ