PrintNightmare: Kritik Windows Zafiyeti

Windows üzerinde aktif olarak gelen Print Spooler servisinde kritik bir zafiyet keşfedildi.

Zafiyet, PrintNightmare (CVE-2021-1675) olarak adlandırıldı. Microsoft düşük öncelikli olarak belirttiği zafiyet için 8 Haziran'da yama yayınladı, fakat zafiyetin uzaktan kod çalıştırmaya (RCE) imkân sağladığı potansiyelinden dolayı, kritik olarak güncelledi.

Yayınlanan yamanın bazı Windows sistemlerinde (Windows Server 2019) etkisi olmadığı gözlemlendi.  PrintNightmare zafiyeti dışarıdan bir saldırganın SYSTEM üzerinde komut çalıştırabileceğini gösterdi. Ayrıca Domain Controller gibi kurumun önemli sistemlerini hedef alıyor, Domain Controller üzerinde yetkiyi ele geçiren saldırgan, domain üzerinde tam yetki ile birçok noktaya erişim sağlayıp, veri değiştirme, kod çalıştırma vs. imkânı sağlamaktadır.

PrintNightmare zafiyeti için yayımlanan istismar kodu neredeyse tüm Windows sistemlerini etkiliyor. Etkilenen sistemler;  Windows Server (2004, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 20H2) ve Windows (7, 8.1, RT 8.1, 10).

Geçtiğimiz yıl da Microsoft'un Print Spooler servisinde, PrintDemon  (CVE-2020-1048)  isimli bir zafiyet tespit edilmiş, bu zafiyetin sistemde herhangi bir yere rastgele veri yazdırılmasına sebep oluyordu ve yaması yayınlanmıştı.

Çözüm;

Maalesef henüz tam anlamıyla zafiyeti engelleyebilecek bir yama yayınlanmamıştır. Bunun için Print Spooler servisinin kapatılması veya kaldırılması önerilmektedir.  

Komut satırından servisi durdurmak için;

• CMD servisini yönetici olarak çalıştırın.
• Komut satırında; net stop spooler yazarak, servisi durdurun.
• Tekrar başlatmak istediğinizde net start spooler komutu ile başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2021

 

Fidye Saldırılarının Popüler Kapısı: Pulse Connect Secure VPN Pandemi sürecinde kullanım sıklığı artan VPN ürünlerinin zafiyetleri her geçen gün artmaya devam ediyor. Pulse Connect Secure VPN üzerinde geçtiğimiz ay çıkan zafiyetlerden sonra yeni ve kritik bir zafiyet daha tespit edildi. Yeni çıkan zafiyette root kullanıcıyı ele geçiren saldırganlar sistem üzerinde kod çalıştırmasına imkân sağlamaktadır. Bu zafiyeti kullanıp sistemlere saldıran grupların Çin bağlantılı olduğu da tespit edildi. Yoğun olarak dünya üzerinde savunma sanayi ve devlet kurumlarını hedefledikleri ve gizli verinin açığa çıkarıldığı görüldü. Sistemlere sızan siber saldırgan gruplarının sadece dışarı veri çıkarmadığı, kalıcı olarak sistemlerde kalmaya da zorlandığı görülüyor. Kuruluşların hızlıca Pulse Connect Secure VPN ürünlerini son sürüme güncellemeleri gerekmektedir. Bunun dışında düzenli olarak zafiyet taraması ve sızma testi gibi hizmetleri alıp, sistemleri periyodik olarak kontrol ettirmeli ve güvenlik strateji ve politikalarını bu çıktılara göre güncellemelidir. App Store'da Bekleyen Büyük Risk Geçtiğimiz aylarda Google ile alakalıda benzer bir operasyon gerçekleşmiş ve yüz binlerce uygulama güvenlik ihlali sebebiyle kaldırılmıştı. Apple, yayınlanan rapora göre 2020 yılı içerisinde sadece para ve bilgi ihlali yapan 215.000 uygulamayı yayından kaldırdı ve bu uygulamalar üzerinden yaklaşık 1,5 milyar dolarlık haksız kazanca engel olarak kullanıcılarını korudu. Raporda yer alan diğer bilgilere göre, uygulamalar üzerindeki puanlama ve yorumlar ile alakalı yanlış bilgilendirmeler gerçeklemiş. Genel kullanıcı kitlesi uygulama indirirken baktığı 3 ana etken var, indirilme sayısı, puanlama yapan sayısı ve yorum sayısı oluyor. Raporda belirtildiği üzere; 250 milyondan fazla puanlama ve yorum kaldırıldı, bunun sebebi ise insanları yanlış yönlendiriyor olması, hali hazırda internet üzerinden uygulamalarına yorum yazacak ve puanlama yapacak birçok uygulama geliştirici şahıs ve şirket görebilirsiniz. Bu da bizlere gösteriyor ki, uygulamaların indirilmesi sayısı, puanları ve yorum sayıları Apple gibi bir şirket üzerinde bile rahatlıkla manipüle edilebiliyor. Bu kadar büyük bir organizasyon üzerinde kullanım arttıkça, kötü niyetli kişi ve gruplarında aktif olarak yer aldığını görebiliyoruz, bu yüzden banka bilgilerimiz, sağlık bilgilerimiz, özel ve hassas bilgilerimiz gibi değerli verilerimizi barındırdığımız telefonlarımıza herhangi bir uygulama indirirken şüphe ile yaklaşmalı ve mümkün olduğu kadar ihtiyaç duyulan uygulamaları yüklemeliyiz. Conti Fidye Zararlısı, Sağlık Sektörünü Hedefliyor. Conti fidye grubu sağlık sektörünü hedefliyor. Geçtiğimiz yıl birçok ülkenin sağlık sistemlerini ve acil servis hizmetlerini sekteye uğratan Conti fidye grubu dünya çapında 400'den fazla sistemi etkiledi ve halen sağlık sistemi, acil servis hizmetleri ve belediye hizmetlerine sekte vurmaya devam ediyor. Conti grubu da standart bir fidye zararlısı grubu gibi, verileri şifreler ve fidye talep eder, eğer ödeme belirtilen sürede gerçekleşmez ise, veriler bu grup tarafından açığa çıkarılarak kurumun hukuki ve itibari sıkıntıya düşürülmesi sağlanır. Conti grubu sızdığı sisteme göre fiyat belirlemekte ve son olarak sızdığı bir ülke sağlık sisteminden 25 milyon dolar talep etmiştir. Çalınan RDP kullanıcı hesaplarını satın alan grupların kuruluşlardaki fidye saldırıları kapışması başlıyor ve aynı bilgilere sahip farklı grupların da kurum içerisinde şifreleme esnasında birçok dosyayı bozduğu da görülüyor. Aynı zamanda fidye gruplarının yoğun olarak sağlık, enerji, telekom, savunma gibi sektörleri tercih sebebi de, herhangi bir sistem durması halinde direkt kitlelerin etkilemesi ve birçok kuruluşta savunma ve acil durum planının uygulanmasının bile, fidye ödeyip sistemleri aktif hale getirmekten daha uzun sürmesi olduğu belirtiliyor. RDP, Saldırıların Vazgeçilmezi Oldu. Geçtiğimiz yıl yapılan bir araştırma gösteriyor ki, saldırgan grupların yaklaşık %90'ı RDP den faydalanıyor ve bunların %81'i fidye saldırılarında kullanılıyor. RDP, fidye saldırılarında ilk erişim sırasında aktif olarak kullanılıyor ve %69 olarak ağda yatay hareketler için de kullanılmaktadır, saldırılarda yatay hareketler kuruluşun sistemlerini tanıma, önemli sistemlerinde tespiti gibi noktalarda da önem arz etmektedir. Birçok kuruluş birden fazla, gerek donanımsal gerek yazılımsal güvenlik ürünü kullanmaktadır ve bu sistemlerden aynı anda birçok alarm üretilmektedir. Birçok kuruluş için en önemli faktör halen insan olmaktadır, güvenlik ürünlerinin artması ve dinamiklerin değişmesi sebebiyle yeterli birikime sahip olmayan teknik personelin de, bu alarmları yorumlayabilmesi hayati önem taşımaktadır. Çünkü bu tür saldırılar anlık gelişmekte ve doğru yorumlanmadığında sızma gerçekleşir, içeriye yerleşen saldırgan geç kalınan savunma metotlarından kurtulmaktadır. Pandemiyle beraber kullanımı artan RDP, saldırgan grupları işini çok fazla kolaylaştırmaktadır, 2020 yılının 1. ve 4. çeyreği arasında RDP saldırılarında %768 artış görülmüştür ve bu artış korkutucu bir şekilde de artmaya devam etmektedir. Mobil Uygulamalar Bizi Tehdit Etmeye Devam Ediyor. Bilgisayarlar üzerinde bir uygulama kurmak eskiden çoğu kişi için çok zordu ve çevresinden destek almak zorundaydı. Mobil cihazlar ile uygulamalar da artık hayatımızın vazgeçilmezi haline geldi ve artık uygulamalara ulaşmak ve indirip kurmak akıllı telefon kullanan herkesin destek ihtiyacı olmadan ve hızlıca halledebildiği bir çözüm olarak sunuluyor. Durum böyle olunca kullanıcıların çoğunluğu uygulamalara fazlasıyla güveniyor, sebebi de uygulama marketlerinin arkasındaki Apple, Google gibi firmaların bulunması yatıyor. 100 milyondan fazla indirilmiş 40 uygulama üzerinde yapılan analizde, bu uygulamaların bulut sistemi - AWS - anahtarlarının uygulamaya gömülü şekilde geldiği (içerisinde kimlik ve erişime olanak sağlayan bilgilerde yer alıyor) ve bu yüzden uygulamaların güvenilir olmadığı tespit edilmiştir. Bu uygulamaların içerisinde büyük ve kurumsal uygulamalar da mevcut, bunlardan bazıları; Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM's Weather Channel, Club Factory ve Wholee. Bulut sistemler üzerinde yanlış yapılandırmalar geçtiğimiz yıllarda da birçok kurumun verisinin açığa çıkmasına sebep olmuştu, buradaki temel sorun bulut sistemlerinin güvenliğinin ötesinde, kullanıcı kurum ve kuruluşların bulut sistemi yeteri kadar anlamaması ve gerektiği şekilde konfigüre edemiyor olmasından kaynaklı, Türkiye'de zafiyet gözlemlediğimiz projelerde birçok firmanın yanlış bilgilendirmelerden dolayı güvende olduğunu zannettiğini, bulut sistem hizmetini satın aldığı firmanın güvenlik ve sistem takibi adına tüm gereksinimleri yerine getireceğine inanıldığını gözlemledik. Bulut sistemler de yerelde kullandığınız sistemlerde olduğu gibi, konfigüre edildiği kadar güçlü ve güvenlidir.

Siber Güvenlik Bülteni - Nisan 2021

 

Cring Fidye Saldırısı Kapısı: Forti VPN

2021 yılında da fidye saldırılarının hız kesmeden devam ettiğini görüyoruz. Siber Suçluların, endüstriyel işletmelere Cring olarak adlandırılan fidye yazılımı bulaştırmak için Fortinet VPN CVE-2018-13379 kodlu zafiyeti kullandığı tespit edilmiştir. Cring zararlısı, eriştiği cihazlardaki kritik dosyaları şifrelemekte ve daha sonra şifrelenen dosyaların kurtarılması için ücret talep etmektedir. 2019 yılında tespit edilmiş ve yaması yayınlamış olmasına rağmen, bu zafiyetin hâlâ kullanılabilmesi, birçok saldırıda olduğu gibi güncellemenin vaktinde yapılmamasının sonuçlarını net olarak ortaya koymaktadır. Cring yazılımı bulaştırıldığı sistemde, ilk etapta açık kaynak kodlu Mimikatz aracını kullanarak hedef cihazdaki kullanıcı bilgilerini toplamaktadır. Topladığı bilgiler ile birlikte ağda tüm cihazlara yerleşmeyi deneyerek mümkün olan en fazla sayıda cihaza bulaşmaya çalışmaktadır, bulaştıktan sonra ise APT'lerin genel mantığı olan kalıcılık için, bir arka kapı oluşturmakta ve saldırgana dışarıdan erişim imkanı vermektedir. Korunmak için; CVE-2018-13379 için hazırlanmış olan yamayı uygulayınız. Kritik sistemlerin yedeklerini düzenli olarak yedekleyip, yedekleme planlamanızı uygulayınız. Kurum sistemlerinin güvenliğini kontrol altında tutmak için güvenlik danışmanlarından faydalanınız. Bu konuda desteğe ihtiyaç duyduğunuzda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın. Ağınızdaki sistemlerin anlık analiz edilebilmesi ve korunması için çözüm sunan siber saldırı algılama ve engelleme sistemleri kullanınız. Bu konuda desteğe ihtiyaç duyduğunuzda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Hedefte Bu Kez SAP var

Güncel olmayan ve yanlış yapılandırılmış sistemler SAP'yi de vurmaya devam ediyor. Saldırganlar hassas verilerin çalınmasına, finansal dolandırıcılığa, fidye saldırılarına, kkritik iş süreçlerinin kesintiye uğratmasına ve diğer operasyonel kesintilere sebep olmaktadır. SAP günümüzde kritik önem taşıyan gıda dağıtımı, tıbbi sistemler, ilaç sektörü, kamu sistemleri, savunma sektörü gibi yaygın bir şekilde kullanılıyor. Dünya üzerinde yaklaşık 400.000 den fazla kuruluşta kullanıldığı bilinmektedir. SAP şimdiye açığa çıkmış tüm zafiyetlerini yamalamıştır fakat yamalanmamış sistemlerin sayısı epey yüksektir ve bu sistemler her geçen gün saldırıya uğramaktadır. Hali hazırda sık kullanılan SAP zafiyetleri şu şekilde listelenmektedir: CVE-2020-6287 CVE-2020-6207 CVE-2018-2380 CVE-2016-9563 CVE-2016-3976 CVE-2010-5326

Google Play Faturalandırma Saldırıları

Geçtiğimiz aylarda Google Play Store üzerinde birçok uygulama kaldırıldı, bilindiği üzere Google Play Store son yıllarda artan uygulama ve kontrol denetimlerinde tespit edilemeyen birçok uygulamayı da güvenlik ihlali dolayısıyla bir süre sonra kaldırıyor. Bu sefer tespit edilen ve kaldırılan uygulamalar SMS bildirimlerini ele geçiren uygulamalar oldu. Tespit edilip Google Play Store'dan kaldırılmadan önce uygulamaların yaklaşık 750.000 kişi tarafından indirildiği tespit edildi. İndirilen uygulamalar, arka planda kişi telefonunda yapılan ödemelerin onay kodu SMS'lerini arka planda alarak, kurbana faturalandırmaktadır. Bu yazılımların genel çalışma mantığı, Google Play Store üzerinde ilk yayınlandığı sürümlerin normal bir uygulama olarak çalışması ve ilerleyen dönemlerde güncellemelerde gönderilen kodlar ile birlikte kullanıcı telefonlarını gizlice saldırıya açık hale getirmesidir. Telefonunuza indirdiğiniz uygulamaların sizlerden ne tür izinler talep ettiğini incelemenizi ve standart global popüler uygulamalar dışında herhangi bir uygulamayı telefonunuza yüklememenizi öneririz. Tespit Edilen En Popüler Uygulamalar: Keyboard Wallpaper (com.studio.keypaper2021) PIP Photo Maker (com.pip.editor.camera) 2021 Wallpaper and Keyboard (org.my.favorites.up.keypaper) Barber Prank Hair Dryer, Clipper and Scissors (com.super.color.hairdryer) Picture Editor (com.ce1ab3.app.photo.editor) PIP Camera (com.hit.camera.pip) Keyboard Wallpaper (com.daynight.keyboard.wallpaper) Pop Ringtones for Android (com.super.star.ringtones) Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)

​1.3 Milyon RDP Server Erişim

UAS (Ultimate Anonymity Services), RDP bilgileri satılan platform üzerinden yaklaşık 1.3 milyon RDP giriş bilgileri satıldığı tespit edildi. Bu giriş bilgilerinin birçoğu önceki saldırılardan elde edilen kullanıcı adı ve parolalardan oluşmaktadır. RDP (Uzak Masaüstü Protokolü) kurum ağındaki sistemlere uzaktan veya yerel ağdan sisteme direkt erişim olanağı sağlamaktadır ve pandemi ile birlikte birçok kurum tarafından hızlı ve kolay erişim sağlaması sebebiyle kullanılmaktadır fakat büyük risk içerdiği geçtiğimiz yıllarda gerçekleşen saldırılarda da kendini göstermiştir. Fidye saldırılarında da aktif olarak kullanılmaktadır hatta siber korsanlar piyasada açık olan ve kullanıcı adı parolasına sahip oldukları RDP giriş bilgilerini ortalama $ 3 ile $ 70 arası satmaktadır. FBI yaptığı araştırmalarda göstermiştir ki fidye saldırılarına yol açan ihlallerin ortalama %70 - %80 i RDP kaynaklıdır. Bilinen birçok fidye yazılım grupları sadece RDP üzerinden kurumların iç ağlarına erişim saldırıları gerçekleştirmektedir. UAS üzerinde yapılan incelemelerde büyük bir ağın oluştuğu, burada satışa çıkarılmış RDP sunucuların, canlı olup olmadığı, bilgilerin güncel olup olmadığı, CPU, lokasyon, versiyon bilgisi, Download ve Upload Hızı gibi sunucular hakkında derinlemesine ve detaylı bilgi içermektedir. Bu platforma sızan güvenlik araştırmacılarının verdiği bilgilere göre 2018 'in sonundan bu yana 1.379.609 RDP hesabı, IP adresleri kullanıcı adı ve parola bilgilerini topladılar. Bazı istatistikleri de burada paylaşacağız: Yaklaşık 63 ülkeden devlet kurumları dahil birçok kuruma ait bilgi bulunmaktadır. En çok erişim bilgisi bulunan RDP sunucu lokasyonları Amerika Birleşik Devletleri, Çin, Brezilya, Almanya, Hindistan ve Birleşik Krallık'tır. Son 2 yılda fidye saldırısına uğramış birçok büyük kuruluş bilgileri de bu listede yeralmaktadır. RDP sunucu bilgisi en fazla sağlık sektöründen kuruluşları içermektedir. En çok kullanılan kullanıcı adları; 'Administrator', 'Admin', 'User', 'test', ve 'scanner' En çok kullanılan parolalar; '123456', '123', '[email protected]', '1234', ve 'Password1'.

Pandemi En Çok VPN'leri Etkiledi.

Saldırganlar pandemi sürecinde kurumların aktif olarak kullandığı VPN sistemleri hedefledi ve kurumsal ağlara sızma yolları olarak VPN zafiyetlerini kullanmaya başladı. Geçtiğimiz haftalarda Pulse Secure VPN sistemleri üzerinde keşfedilen zafiyetler kısa sürede siber saldırganlar tarafından kullanılmaya başlandı. Araştırmalar gösteriyor ki Pulse Secure VPN sistemleri için hali hazırda aktif olarak kullanılan 12 zararlı yazılım ailesi mevcut. VPN sistemlerindeki zafiyetlerden dünya üzerinde on binlerce kuruluşun etkilendiği düşünülmektedir. Açığa çıkan zafiyetler her ne kadar yamalanmış olsa da, yamayı uygulayan kuruluş sayısı çok azdır, bu ve benzeri büyük çaplı saldırılarda genellikle yaması çıkmış olmasına rağmen, yama yapılmamış sistemlerin kullanılmasıdır. Bu risk her geçen gün artmakta ve ülkelerin de özel ve kamu birçok kuruluşunu zor durumda bırakmaktadır. ABD'de mahkeme özel kuruluşlar dahil FBI'ya tespit edilen zafiyetli sistemlere gerekli yamayı uygulama yetkisi vermiştir. Pandemiyle kullanımı yoğun olarak artan VPN sistemleri, zafiyet çıktığında yama uygulanması gereken ilk sistemler arasında yer almaya başladı, eğer sizler için ilk sıralarda değilse, bu konuda acil olarak kurumunuzdaki güvenlik politikalarını güncellemenizi öneririz.

Siber Güvenlik Bülteni - Mart 2021

 

Büyük Veri Sızıntıları

Geçtiğimiz günlerde 2 büyük siber saldırı haberi yayınlandı. Bunlardan biri yerli çevrim içi yemek siparişi verilen Yemeksepeti, diğeri ise dünyanın en büyük sosyal platformlarından Facebook oldu. Yemeksepeti üzerinden kredi kartı bilgilerinin ele geçirilmediği fakat ad ve soyad, doğum tarihi, kayıtlı telefon numaraları, eposta adresleri, kayıtlı adres bilgileri ve SHA-256 ile şifrelenmiş parola bilgileri ele geçirildiğini kurum yetkililerince açıklandı. Saldırı 25 Mart 2021 tarihinden itibaren tespit edildi ve veri ihlali ile alakalı tüm kullanıcılara da bilgilendirme maili gönderildi, şifrelerin kolayca çözülemeyeceği söylense bile siber güvenlikte ihtimaller her zaman vardır bu yüzden hızlıca parolanızı değiştirmenizi ve aynı parolayı kullandığınız yerlerde de hızlıca parola değişikliği yapmanızı öneririz. Facebook ise geçtiğimiz hafta veri ihlali bildirimi yaptı. Yaklaşık 106 ülkeden 533 milyon kişinin, Türkiye'den yaklaşık 20 milyon kişinin, bilgileri sızdırıldı. Bu bilgiler arasında telefon numaraları, e-posta adresleri, lokasyon bilgileri, cinsiyet bilgileri, ilişki durumları gibi dışarıya kapalı olan veriler sızdırıldı. Şu an birçok yerde ücretsiz olarak bu veriler dağıtılmakta ve birçok birey/kurum bu veriler üzerine çalışmaya başlamıştır.

Kuzey Kore'nin Sahte Türk Siber Güvenli Şirketi

Kuzey Kore hükûmeti tarafından desteklenen bir siber saldırı grubu, kurumları hedeflemek amaçlı "SecuriElit" isimli sahte bir güvenlik şirketi kurdu ve bu şirket ile ilişkilendirilmiş sosyal medya hesapları oluşturdu. Oluşturdukları sahte kurumsal websiteleri üzerinde daha önce birçok saldırıda kullanılan internet tarayıcı zafiyetlerini tetikleyen pgp.txt dosyaları tespit edildi. Yapılan analizlerde sahte şirkete ait tüm websitelerinin ve sosyal medya hesaplarının tespit edilenleri kapatılmış durumda fakat bu tür saldırılar her geçen gün artmaya devam ediyor, saldırıya maruz kalmak için herhangi bir websitesine giriş yapmanın bile yeterli olabileceğini bu olayda net olarak görebiliyoruz. Herhangi bir konuda hizmet alacağınız firma araştırması yaparken Google üzerinden araştırmalarınızda dikkatli olmanız gerekmektedir.

Sağlığımız Siber Saldırganların Elinde

Fidye saldırıları her geçen gün etkisini artırmaya devam ediyor. En riskli olarak sayılabilecek saldırılardan biri geçtiğimiz yıl sonunda denk gelen Universal Health Service oldu. Şirketin ABD ve İngiltere'de 10 binden fazla çalışanı bulunuyor ve yıllık gelirleri 10 milyar doların üzerinde. Kuruma yapılan saldırı sonucunda sistemlerin şifrelenmesiyle şirket bu sürede veremediği hizmetlerden dolayı kayıp bilançosu ortalama 67 milyon dolar olarak belirlendi. Kurum bu saldırılar için her ne kadar sistemleri geri döndürmeye çalışsa da maalesef bu siber saldırı gruplarına fidyeyi ödemek ve sistemleri aktif etmek durumunda kaldılar. UHS tarafından yapılan açıklamada herhangi bir bilgiye erişim olmadığını ve veri sızdırılmadığı iddia edildi. Bu tür saldırılarda genel olarak müşteriler, siber saldırı gruplarına güvenmek zorunda kalıyor. 2020 yılı içerisinde pandeminin de etkisiyle birlikte dünya ekonomisinin zayıflaması birçok kişiyi bu tür illegal yollardan para kazandırmaya sevk etti ve pandemi sürecinde göz önünde olan sağlık sektörü fazlasıyla nasibini aldı, 2021 yılı içerisinde de benzer saldırıları görebiliriz. Bu konuda siber saldırılara karşı önemleri artırmak amacıyla güvenilir kurumlardan destek alınması gerekmektedir. Bu konuda destek ihtiyacınızda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın.

​1 Parolanın Nesi Var...

2020 yılında da birçok kullanıcı adı ve parola sızdırıldı ve tahminî olarak aktif 1,5 milyar parolanın ve kombinasyonlarının kullanıldığı saptandı. 2020 yılında sızdırılmış kullanıcı adı ve parola bilgileri 2019 yılına göre %30 artış göstermiş durumda, 2020 yılı içerisinde etkili sayılabilecek sızıntı yaklaşık 854 vaka gerçekleşti. Bu vakalarda ortalama 5,4 milyon kayıt sızdı. Yapılan incelemelerde tespit edilen parolaların yaklaşık %60 ı aktif olarak kullanılmaktadır, bu da yeni saldırılarda brute force yönetmenin başarı oranını artırmaktadır. ​Birçok kurumun ve kişilerin bir parolayı birden fazla yerde kullandığı bilinmektedir, herhangi bir sızıntı olduğu noktada bir parolanın açığa çıkmasıyla ​diğer hesaplar üzerinde de hızlıca denemeler yapılmaya başlanarak sızıntının kapsamı aslında siber saldırı grupları tarafından genişletilmektedir.  ​Verilen parolaların 14 karakterden uzun, büyük küçük harf, rakam ve özel karakterlerden oluşmasının yanı sıra ayrıca tahmin edilebilir parolalardan da kaçınılması gerekmektedir, yukarıda belirtildiği gibi, tüm bunların yanı sıra aynı parolayı birden fazla hesap, site - farklı sistemler üzerinde kullanmak da diğer bir risk faktörüdür ve hesaplarınıza sızmaya yol açar., bunun yanında aynı parolayı birden fazla hesap üzerinde kullanmakta diğer bir risk faktörünü doğurmaktadır. Güçlü parola oluşturmanın zorluğu birçok kurum, kuruluş ve kişi tarafından belirtilmektedir fakat günümüzde ücretli veya ücretsiz olarak kullanılabilecek, parola yönetim yazılımları burada sizler adına çok güçlü ve karmaşık parolaları hızlıca oluşturmaya olanak sağlamaktadır.

QNAP Coin Üretmeye Başladı

Geçtiğimiz yıl iki kritik zafiyetin çıktığı yedekleme sistemi üretici Qnap zafiyetler tarafında yamalar yayınlasa da yaması yapılmamış sistemler üzerinde ciddi etkisini göstermeye devam ediyor. Yapılan araştırmalarda görülüyor ki UnitMiner adı verilen zararlının çalıştığı sistemlerin %80ini zafiyetli Qnap'lar oluşturuyor, aynı zamanda zararlı yazılım Qnap üzerinde manipülasyonda yaparak sistemde kripto madenciliğini ve CPU kullanımının gizlendiği görüldü, sistem kullanıcısının Qnap web arayüzden kontrol ettiğinde herhangi bir anormallik görülmediği gözlemlenmiştir. Son yıllarda kripto paraların al sat olarak kullandığı sanal borsalardan dolayı birçok sistem üzerinde performans tüketimini yaparak kripto madenciliği saldırıları gerçekleşmektedir.  ​TINA ekibi olarak çalışma yaptığımız noktalarda da tespitlerimiz şunu göstermektedir; kurum sistemleri üzerinde değerli veri bulunmaması veya veriye ulaşılamaması durumlarında dahi sistemlere saldırı sürmekte, sistem kullanım yoğunluğunun düşük olduğu noktalarda kurum kaynakları içerisine yerleştirilmiş zararlı yazılımlar ile kripto madenciliği yapılmaktadır.  ​Kısacası siber saldırganlar artık sadece verinin değil, sahip olduğunuz tüm kaynakların; sistemlerin, kullanılmayan boşta duran internet hattınızın, elektriğinizin ve tüm donanım kaynaklarınızın işlemci gücünün de peşindeler. Yapılan bu tip saldırılara yönelik anlık olarak analiz gerçekleştiren sistemler ile kontrolü artırmanız gerekmektedir. Bu konuda destek ihtiyacınızda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Microsoft ProxyLogon Zafiyeti

Microsoft bu ay içerisinde Exchange sunucular için birden fazla sıfırıncı gün zafiyet bildirimi yaptı ve zafiyetlerin yamalarını da paylaştı. Bu saldırılar ProxLogon olarak adlandırıldı. Zafiyetler CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 olarak referans edildi. Burada yapılan açıklamada bulut tabanlı sistemlerin değil, on-promise (yerel) sistemlerin etkilendiği açıklandı. Saldırı, Outlook (OWA) kullanıcılarına Microsoft Exchange sunucuları üzerinde kod çalıştırmasına olanak sağlamaktadır. Bu saldırıların arkasında Çin devletinin desteklediği bir siber saldırı grubununun olduğu düşünülmektedir. Microsoft bu yamaları yayınlamasına rağmen aktif olarak ülkemiz dahil dünya üzerinde 30.000 üzerinde sistemin etkilendiği tespit edilmiştir. Bu yamaları hali hazırda yapmış bile olsanız, yama öncesi sisteme sızma ihtimali düşünülerek Microsoft tarafından PowerShell komut dosyası paylaşılarak zafiyetlerin tespitinde yardımcı olması amaçlanmıştır. PowerShell komut dosyayı buradan indirebilirsiniz. Exchange server üzerinde indireceğiniz scripti Exchange Management Shell ile çalıştırıp kontrol edebilirsiniz. Tüm Exchange Sunucuları Kontrol Etmek ve rapor üretmek için; Get-ExchangeServer | . \Test-ProxyLogon. ps1 -OutPath $home\desktop\logs Bulunduğunuz Exchange Sunucu Kontrol Etmek ve rapor üretmek için; . \Test-ProxyLogon. ps1 -OutPath $home\desktop\log Rapor üretmeden Bulunduğunuz Exchange Sunucu Kontrol Etmek için; .\Test-ProxyLogon.ps1

Siber Güvenlik Bülteni - Şubat 2021

 

Cisco'da Kritik Zafiyet

Cisco'nun siteler arası politika yönetici yazılımında kritik bir güvenlik açığı tespit edildi. Güvenlik açığı uzaktaki bir kullanıcının kimlik doğrulatmayı atlatabilmesine olanak sağlamaktadır. Güvenlik açığı, Cisco ACI Multi-Site Orchestrator (MSO)'da tespit edilmiştir. Güvenlik açığı (CVE-2021-1388), CVSS güvenlik açığı derecelendirmesinde 10 üzerinden 10 almıştır. Ayrıca zafiyet ACI MSO 3.0 sürümlerini etkilemektedir. Cisco'dan yapılan açıklamada henüz tespit edilen bir istismar kodundan veya kötüye kullanımından haberdar olunmadığı söylendi. Ürün kullanıcılarının zafiyeti engellemek amaçlı Cisco ACI MSO 3.0(3m) sürümüne güncellemeleri gerekmektedir. Ek olarak güvenlik açığı ve öneriler hakkında Cisco güvenlik danışma sayfasını buradan ziyaret edebilirsiniz.

Kargo Firması Oltalama Saldırısı

Her geçen gün oltalama saldırıları farklı bir plan ile hayatımızda yer almaya devam ediyor. Bu seferki saldırıda yaklaşık 10.000 kişi hedeflenmiş ve oltalama saldırı kurgusu DHL Express, FedEx gibi kargo şirketleri taklit edilerek gönderilmiş. Pandemiyi düşününce kargo firmalarını taklit etmeleri gayet zekice bir planlama olduğunu söyleyebiliriz. Saldırının amacı; kullanıcıların kurumsal e postalarını ele geçirmek. Gönderilen e-posta içerisinde yönlendirme amaçlı linkler bulunmaktadır,​bu linklerin eposta filtrelerine takılmadan ulaşabilmesi için, kimlik avı sayfalarının Quip ve Google Firebase güvenli adresleri üzerinde barındırıldığı tespit edilmiştir. Bu şekilde kötü niyetli sayfaların ve formların, eposta güvenlik servislerini Bypass etmesi sağlanmıştır. Senaryo şu şekilde planlanmıştır, kullanıcı gelen maile tıkladığında link onu Quip üzerinde bulunan sahte FedEx belgeleri sergileyerek, detaylarının görülmesi için kurbanı detay sayfasına yönlendirmektedir. Kurban buraya tıkladıktan sonra ise Google Firebase üzerinde kurgulanan sahte Microsoft giriş ekranına yönlendirerek kurbanların kullanıcı bilgilerini ele geçirmektedir. Quip ve Google Firebase ücretsiz versiyonları, saldırganların işini kolay ve hızlıca yapmasına olanak sağlamaktadır.

3.2 Milyar Kullanıcı Adı ve Parola Popüler bir hacking formunda benzersiz ve açık metin olarak derlenmiş 3,2 milyardan fazla kullanıcı adı ve parola ile birlikte giriş bilgisi yayınlandı. Bu bilgilerin daha önceki sızıntılardan elde edilen, Linkedin, Netflix, Bitcoin gibi hesap bilgilerinden derlendiği düşünülüyor. Bu ihlal dosyasının adı COMB "Compilation of Many Breaches” (Birçok İhlalin Derlenmesi) olarak yayınlanmış ve parola korumalı bir arşiv dosyası olarak paylaşılmıştır. Yapılan incelemelerde uzmanlar, yeni bir ihlal içermediğini ve çoğunluğunun önceki yıllardan gelen ihlallerin bir noktada toplandığını iddia etti. Ayrıca uzmanlar yapılan incelemelerde birçok kullanıcı adı ve parolanın hâlâ geçerli olduğunu ve kullanılabilir olduğunu belirtti. Bunun yanında ihlalin sadece bir liste değil, etkileşimli veri tabanı olması hackerler istediği kullanıcı adı ve parolaya hızlıca ulaşmasına olanak sağlamakta ve riski bir adım ileriye taşımaktadır. VMware Kritik Zafiyet Zafiyet (CVE-2021-21972) vCenter, vSphere üzerinde kod çalıştırmaya olanak sağlamaktadır. Vmware sunucularda kritik zafiyet yama yayınlanması akabinde istismar kodu yayınlandı ve birçok saldırgan dünyadaki zafiyetli sistemleri taramaya başladı. Yaklaşık 6,700 VMware sunucusu hali hazırda yamalanmamış ve saldırıya açık durumdadır. VMware bu zafiyeti 10 üzerinden 9.8 olarak değerlendirdi ve acilen yama yapılmasını önerdi, yamaya buradan ulaşabilirsiniz. Geçtiğimiz yıllardaki zafiyetlerin fidye saldırılarında kullanıldığına şahit olmuştuk, bu yüzden bu zafiyetinde yeni fidye saldırılarında aktif olarak kullanılacağını öngörmekteyiz, hızlıca yama yapmanızı öneririz. Saldırından şirket içi veya üretim ortamından herhangi bir kısmın etkilendiğine daire kanıtın olmadığı, ürünlerin kullanımında bir güvenlik problemi olmadığı söylendi.

ThreatNeedle, Saldırılarında Savunma Sanayini Hedef Alıyor

Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir. Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word ekinin açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapısı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur. ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. İncelenen ThreatNeedle, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerliklerini tespit etti. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır. Bu saldırıdan son belirlemelere göre 12 ye yakın ülkede birçok kuruluş saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1,3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir. Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word'ün açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur. ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. ​İncelemelerde ThreatNeedle'ın, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerlikleri tespit edildi. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır. ​Son belirlemelere göre 12'ye yakın ülkede birçok kuruluş bu saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1.3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Lazarus Grubu da 2020 başlarından itibaren savunma sanayine odaklandı.

Apple M1 "Silver Sparrow" Zararlı Yazılım Uzun yıllardır saldırı kullanım yoğunluğunun az olmasından dolayı saldırı gerçekleşmeyen Apple, kullanımı arttığı her geçen gün farklı saldırılara maruz kalmaya devam ediyor. Geçtiğimiz aylarda kendi işlemci yapısı olan M1 işlemcileri duyuran Apple, geçtiğimiz hafta siber saldırıya maruz kaldı. Tespit edilen ilk zararlı yazılımdan günler sonra ikinci zararlı yazılım ile alakalı da tespitler gerçekleşti. Zararlı yazılım "Silver Sparrow" olarak adlandırıldı ve yaklaşık 30,000 Mac cihazında olduğu düşünülüyor. Ayrıca zararlı yazılım hem M1 işlemcili hem de Intel x86_64 cihazlarında çalışıyor. ABD, İngiltere, Fransa, Kanada ve Almanya yoğun olmak üzere 153 ülkede tespit edildi. Florida Su Şebekesi Siber Saldırı ABD'nin Florida eyaletinde su şebekelerine siber saldırı gerçekleşti. Sisteme sızan siber korsanlar sudaki soydum hidroksit oranını artırarak halkı zehirlemeyi planladı. Saldırı gerçekleşirken seviyelerin değiştiğini fark eden bir operatör tarafından kimseye zarar gelmeden engellendi. Yapılan incelemede saldırının su tesisi üzerindeki SCADA sistemlerini incelemek, kontrol etmek ve gerekli düzenlemeleri yapmak için kullanılan TeamViewer üzerinden gerçekleştiği tespit edildi. Ayrıca sistemde Windows 7 32 bit bir sistem üzerine kurulu bir yapının olduğu, hepsinde aynı parolanın kullanıldığı ve herhangi bir güvenlik önlemi kurgulanmadığı ortaya çıktı. Erişim bilgilerinin ise nasıl bulunduğu hâlâ araştırılıyor fakat 2017 yılında yayınlanan büyük bir ihlal veri tabanı üzerinde kurum ve çalışanlarına ait birçok parola tespit edildi ve bu parolaların hâlâ geçerli olduğu gözlemlendi. Bu yüzden yapılan saldırı, muhtemelen daha önceden ele geçirilmiş parolalar ile rahat bir şekilde gerçekleşti.