04 Şubat 2025

Siber Güvenlik Bülteni - Ocak 2025

 

Bültenimizin Ocak Ayı konu başlıkları; 
    • Sonicwall Authentication  Bypass Zafiyeti
    • Fortigate 50.000 Cihaz Saldırı Altında
    • Microsoft En Büyük Güvenlik Güncellemesini Yayınladı.
    • 2024'ün En Yaygın 10 Siber Saldırısı
    • 2024'te Rekor Seviyede 40.009 CVE Yayınlandı

    Sonicwall Authentication  Bypass Zafiyeti

    SonicWall’ın SonicOS yazılımında bulunan ve saldırganların kimlik doğrulama mekanizmalarını atlamasına olanak tanıyabilecek çeşitli güvenlik açıkları tespit edildi. Bu açıklar, çeşitli SonicWall donanım ürünlerini etkileyerek ağ güvenliğini riske atabilir.

    Güvenlik Açıkları Özeti

    Danışma belgesinde, SonicOS altyapısındaki dört önemli güvenlik açığı vurgulanıyor:

    CVE-2024-40762:
    • Açıklama: SSLVPN kimlik doğrulama token'larını oluşturmak için kullanılan kriptografik olarak zayıf bir sözde rastgele sayı üreteci (PRNG) bulunuyor. Bu zayıflık, saldırganların belirli senaryolarda kimlik doğrulama token'larını tahmin etmesine ve kimlik doğrulama mekanizmasını atlamasına olanak tanır.
    • CVSS Skoru: 7.1
    • CWE Sınıflandırması: CWE-338

    CVE-2024-53704:
    • Açıklama: SSLVPN mekanizmasındaki uygunsuz kimlik doğrulama zafiyeti, uzaktaki saldırganların kimlik doğrulama süreçlerini atlamasına izin veriyor. Bu durum, ağ bütünlüğü için ciddi bir tehdit oluşturuyor.
    • CVSS Skoru: 8.2
    • CWE Sınıflandırması: CWE-287

    CVE-2024-53705:
    • Açıklama: SonicOS'un SSH yönetim arayüzünde bulunan bir sunucu tarafı istek sahteciliği (SSRF) zafiyeti. Bu açık, bir kullanıcı güvenlik duvarına bağlıyken, uzaktaki saldırganların herhangi bir IP adresine ve porta TCP bağlantıları kurmasına olanak tanır.
    • CVSS Skoru: 6.5
    • CWE Sınıflandırması: CWE-918

    CVE-2024-53706:
    • Açıklama: Gen7 SonicOS Cloud platformunda (AWS ve Azure sürümleri) yerel ayrıcalık yükseltme (privilege escalation) zafiyeti. Bu açık, düşük ayrıcalıklı kullanıcıların root yetkilerine erişmesine ve yetkisiz kod çalıştırmasına olanak tanır.
    • CVSS Skoru: 7.8
    • CWE Sınıflandırması: CWE-269
    Etkilenen Ürünler

    Bu güvenlik açıkları, çeşitli SonicWall donanım güvenlik duvarlarını ve Gen7 Cloud platformunu etkiliyor. Aşağıdaki tabloda, ilgili CVE'ler ve etkilenen sürümler özetlenmiştir:
     
    CVE IDEtkilenen ÜrünlerDüzeltme Sürümü
    CVE-2024-40762Gen6 ve Gen7 Güvenlik Duvarı Serisi7.0.1-5165 ve üzeri
    CVE-2024-53704Gen6 ve Gen7 Güvenlik Duvarı Serisi7.1.3-7015 ve üzeri
    CVE-2024-53705Gen6 ve Gen7 Güvenlik Duvarları7.0.1-5165 ve üzeri
    CVE-2024-53706Gen7 Cloud NSv (AWS ve Azure sürümleri)7.1.3-7015 ve üzeri
     
    SonicWall, şu ana kadar bu güvenlik açıklarının aktif olarak istismar edildiğine dair bir kanıt bulamamıştır. Ancak, kullanıcıların güvenlik duvarlarını en son yamalı sürümlere güncellemeleri tavsiye edilir.
     
    Bunun yanı sıra, SSLVPN ve SSH yönetim erişimi yalnızca güvenilir kaynaklarla sınırlandırılmalı veya kullanılmıyorsa devre dışı bırakılmalıdır.

    Bu güvenlik açıklarına hızla müdahale ederek, BT departmanları ağlarını olası saldırılara karşı daha iyi koruyabilir ve veri bütünlüğünü güvence altına alabilir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Fortigate 50.000 Cihaz Saldırı Altında

    22 Ocak 2025 itibarıyla, CVE-2024-55591 olarak izlenen kritik bir sıfır gün güvenlik açığına karşı 50.000'e yakın Fortinet güvenlik duvarı cihazının hâlâ savunmasız olduğu tespit edildi. Bu durum, acil uyarılara ve yayınlanan yamalara rağmen devam ediyor.

    Güvenlik Açığının Detayları:
    • CVE-2024-55591, Fortinet’in FortiOS ve FortiProxy ürünlerinde bulunan bir kimlik doğrulama atlatma açığıdır.
    • Kasım 2024'ten beri aktif olarak istismar edilmekte olup saldırganların kimlik doğrulama süreçlerini atlamasına ve süper yönetici yetkileri elde etmesine olanak tanır.
    • Güvenlik açığından yararlanmak için saldırganlar, Node.js WebSocket modülüne özel olarak hazırlanmış istekler göndererek yetkisiz komutlar çalıştırabilir, sahte yönetici hesapları oluşturabilir, güvenlik duvarı politikalarını değiştirebilir ve VPN tünelleri kurarak ağ içinde yanlamasına hareket edebilirler.
    • Açık, CVSSv3 puanı 9.6 ile son derece kritik olarak sınıflandırılmıştır.
    Etkilenen ve Güncellenmiş Sürümler:
    • Etkilenen Sürümler:
      • FortiOS: 7.0.0 - 7.0.16
      • FortiProxy: 7.0.0 - 7.0.19 ve 7.2.0 - 7.2.12
    • Güvenli Sürümler:
      • FortiOS: 7.0.17 ve üstü
      • FortiProxy: 7.2.13 ve üstü
    Fortinet, 14 Ocak 2025'te yamalı sürümleri yayınladı.

    Saldırı Aşamaları ve İstismar Süreci:
    Siber güvenlik araştırmacıları, bu güvenlik açığını kullanan saldırı kampanyalarını Kasım 2024 ortasından itibaren takip ediyor. Saldırganlar aşamalı operasyonlar yürüttü:
    1. Açık Tarama: 16-23 Kasım 2024
    2. Keşif Süreci: 22-27 Kasım 2024
    3. SSL VPN Yapılandırması: 4-7 Aralık 2024
    4. Ağ İçinde Yanlamasına Hareket: 16-27 Aralık 2024
    Saldırılar, Fortinet güvenlik duvarlarının kamuya açık yönetim arayüzlerini hedef aldı ve yetkisiz yönetici girişleriyle ağlara sızılmasını sağladı.

    Küresel Etki:
    Shadowserver Foundation tarafından sağlanan verilere göre, 21 Ocak 2025 itibarıyla 50.000'den fazla cihaz hâlâ yamalanmamış durumda. En fazla savunmasız cihaz bulunan bölgeler:
    • Asya: 20.687 cihaz
    • Kuzey Amerika: 12.866 cihaz
    • Avrupa: 7.401 cihaz
    Bu yaygın açıklık, kuruluşların kritik güvenlik yamalarını uygulamakta yavaş kaldığını gösteriyor.
     

    Önlemler ve Öneriler

    Fortinet, kullanıcıların acilen yamaları uygulaması veya güncellemeleri hemen yapamıyorsa alternatif çözümleri devreye almasını tavsiye etti:
    • Aygıt Yazılımını Güncelleyin:
      • FortiOS’u 7.0.17 veya daha yeni bir sürüme, FortiProxy’yi 7.2.13 veya daha yeni bir sürüme yükseltin.
    • Erişimleri Kısıtlayın:
      • HTTP/HTTPS yönetim arayüzlerini devre dışı bırakın.
      • Yalnızca güvenilir IP adreslerine erişim izni veren yerel giriş politikaları oluşturun.
      • Zero Trust için TINA Isolator kullanabilirsiniz.
    • Ağları İzleyin:
      • Yetkisiz hesap oluşturma veya güvenlik duvarı yapılandırmalarında değişiklikler gibi saldırı göstergelerini (IoC'ler) kontrol edin.
    ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)CVE-2024-55591 güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi. Federal kurumların 21 Ocak 2025'e kadar yamaları uygulaması zorunlu kılındı.

    Güncellemelerin mevcut olmasına ve saldırıların aktif olarak devam etmesine rağmen, birçok kuruluş hâlâ bu kritik güvenlik açığını gidermedi. Uzmanlar, güncellemelerin gecikmesi durumunda fidye yazılımları da dahil olmak üzere daha büyük güvenlik ihlallerinin yaşanabileceği konusunda uyarıyor.

    Microsoft En Büyük Güvenlik Güncellemesini Yayınladı.

    Microsoft, Ocak 2025 güvenlik güncellemesi kapsamında 159 güvenlik açığına yönelik yamalar yayınladı. Bu güncelleme, şimdiye kadar yayımlanan en büyük güvenlik güncellemesi olup sekiz sıfır gün açığını da içeriyor. Bu sıfır gün açıklarından üçü saldırganlar tarafından aktif olarak istismar ediliyor.

    Bu güncelleme ayrıca, üç güvenlik açığının bir yapay zeka (AI) platformu tarafından keşfedilmiş olmasıyla da dikkat çekiyor.

    Microsoft, bu ay açıklanan güvenlik açıklarından 10’unu kritik, diğerlerini ise önemli olarak sınıflandırdı. Yamalar, Windows işletim sistemi, Microsoft Office, .NET, Azure, Kerberos ve Windows Hyper-V gibi birçok Microsoft teknolojisindeki güvenlik açıklarını gideriyor. 20’den fazla uzaktan kod yürütme (RCE) açığı, yetki yükseltme hataları, hizmet reddi (DoS) kusurları, güvenlik atlatma ve bilgi sızdırma zafiyetleri de bu güncellemeyle düzeltiliyor.
     

    Hemen Yamalanması Gereken Üç Kritik Açık

    Siber güvenlik uzmanları, bu ayın güncellemesinde acil müdahale gerektiren üç güvenlik açığını vurguladı. CVE-2025-21335CVE-2025-21333 ve CVE-2025-21334 olarak tanımlanan bu açıklar, Windows Hyper-V’nin NT Kernel bileşeninde yetki yükseltme zafiyetlerine sebep oluyor.
    • Saldırganlar, bu hatalardan yararlanarak düşük ayrıcalıklarla sistem seviyesinde yetki kazanabiliyor.
    • Microsoft, her biri için 7.8 CVSS puanı belirlemiş olsa da, aktif istismar edilmeleri nedeniyle derhal yamalanmaları gerekiyor.
    • Hyper-V, modern Windows 11 sistemlerinde yoğun şekilde kullanıldığından bu açıklar özellikle önem taşıyor.
    Microsoft, saldırganların bu güvenlik açıklarını nasıl istismar ettiği konusunda henüz ayrıntılı bilgi paylaşmadı. Ancak uzmanlara göre, saldırganlar bu açıkları, sistemlere ilk erişimi sağladıktan sonra ayrıcalıklarını yükseltmek için kullanıyor. Güvenlik araştırmacıları, bu tür açıkların sanallaştırılmış sistemlerde tam kontrol ele geçirilmesine yol açabileceğini ve ciddi güvenlik riskleri oluşturduğunu belirtti.
     

    Beş Açık Daha Kamuya Açıklandı, Ancak Henüz İstismar Edilmedi

    Microsoft'un yamaladığı beş sıfır gün açığı, daha önce kamuya açıklanmış olsa da henüz saldırganlar tarafından aktif olarak kullanılmadığı belirtiliyor.
    • Üçü uzaktan kod yürütme (RCE) açığı olup, Microsoft Access uygulamasını etkiliyor:
    • Microsoft, bu açıkların Unpatched.ai adlı yapay zeka tabanlı bir güvenlik platformu tarafından keşfedildiğini açıkladı.
    Tenable araştırma mühendisi Satnam Narang, yapay zeka kullanılarak tespit edilen güvenlik açıklarının giderek yaygınlaşacağını ve 2025’te benzer keşiflerin devam edebileceğini belirtti.

    Diğer iki açıklık ise şunlardır:
    • CVE-2025-21275 (CVSS: 7.8/10) – Windows App Package Installer’da yetki yükseltme açığı
    • CVE-2025-21308 – Windows Temaları bileşeninde yetki yükseltme açığı
    Bu iki açık, sistem seviyesinde yetki kazanmaya olanak tanıdığı için yüksek öncelikli güvenlik güncellemeleri arasında yer alıyor.
     

    Diğer Kritik Güvenlik Açıkları

    Microsoft’un en son güncellemesinde sıfır gün açıklarının yanı sıra, 9.8 CVSS puanı alan üç kritik güvenlik açığı daha bulunuyor:
    1. CVE-2025-21311 – Windows NTLMv1’de uzaktan kod yürütme (RCE) açığı
    2. CVE-2025-21307 – Windows Reliable Multicast Transport Driver’da yetkisiz RCE açığı
    3. CVE-2025-21298 – Windows OLE’de rastgele kod yürütme açığı
     
    Microsoft’un Ocak 2025 güncellemesi, önceki yıllara kıyasla önemli bir artış gösterdi:
    • Ocak 2024’te sadece 49 güvenlik açığı düzeltilmişti.
    • Nisan 2024’te 150, Temmuz 2024’te ise 142 CVE yaması yayınlanmıştı.
    • Ocak 2025’te tam 159 güvenlik açığı giderildi ve bu şimdiye kadarki en büyük Microsoft güvenlik güncellemesi oldu.
    Bu güncelleme, özellikle Windows Hyper-V, NTLMv1, Microsoft Access ve Outlook gibi kritik bileşenleri etkileyen güvenlik açıklarını ele aldığı için, kullanıcılar ve kuruluşlar için yüksek öncelikli bir yama döngüsü gerektiriyor.

    2024'ün En Yaygın 10 Siber Saldırısı

    2024 yılı, siber güvenlik dünyasında kritik bir dönüm noktası oldu. Siber saldırılar, her zamankinden daha sık, sofistike ve yıkıcı hale geldi.

    Dijital dönüşümün hızla benimsenmesi ve sistemlerin giderek daha fazla birbirine bağlanmasıyla saldırganlar, açıklardan faydalanmak için eşi benzeri görülmemiş bir ölçekle hareket etti. Kritik altyapıları hedef alan fidye yazılımı saldırılarından, yapay zeka destekli oltalama kampanyalarına kadar tehdit ortamı, siber suçluların hem yenilikçi hem de ısrarcı olduğunu gösterdi.

    Bu makalede, 2024 yılında en sık karşılaşılan 10 siber saldırı türünü, mekanizmalarını, gerçek dünya örneklerini ve etkilerini ele alıyoruz.

    Siber güvenlik artık bir seçenek değil, siber hayatta kalmak için bir zorunluluktur!

    1. Kötü Amaçlı Yazılım (Malware) Saldırıları

    Kötü amaçlı yazılımlar 2024'te en yaygın tehditlerden biri olmaya devam etti. Virüsler, fidye yazılımları, casus yazılımlar ve solucanlar, sistemlere sızarak operasyonları aksattı, hassas verileri çaldı veya cihazlara zarar verdi.

    Fidye Yazılımları (Ransomware)
    Fidye yazılımı saldırıları küresel ölçekte arttı. Dosyaları şifreleyip kurtarma karşılığında fidye talep eden bu saldırılar, özellikle Ransomware-as-a-Service (RaaS) modelleri sayesinde daha erişilebilir hale geldi.

    Öne Çıkan Olaylar:
    • Change Healthcare Fidye Yazılımı Saldırısı: ABD’deki sağlık hizmetlerini felç etti, ameliyatları erteledi ve milyonlarca hastanın reçete sürecini durdurdu.
    • LockBit Fidye Yazılım Grubu: 2024 ortasına kadar aktif kalıp, küresel çapta kurumları hedef aldı.
    Savunma Stratejileri:
    • Uç nokta tespit ve müdahale (EDR) araçlarını kullanın.
    • Yazılımları düzenli olarak güncelleyin.
    • Güçlü yedekleme stratejileri oluşturun.

    2. Oltalama (Phishing) Saldırıları

    2024 yılında oltalama saldırıları %202 oranında arttı ve özellikle kimlik bilgisi hırsızlığı için kullanılan oltalama girişimleri %703 yükseldi.

    Öne Çıkan Olaylar:
    • RockYou2024 Şifre Sızıntısı: 10 milyara yakın şifrenin ifşa edilmesi, büyük çapta kimlik avı saldırılarına zemin hazırladı.
    • Paris Olimpiyatları Bilet Dolandırıcılığı: 700’den fazla sahte site ile sahte bilet satışları yapıldı.
    Savunma Stratejileri:
    • Çalışanları oltalama saldırılarını tanımaları için eğitin.
    • E-posta filtreleme sistemleri kullanın.
    • Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.

    3. Dağıtılmış Hizmet Reddi (DDoS) Saldırıları

    DDoS saldırıları, ağları aşırı trafikle doldurarak hizmetleri devre dışı bıraktı. 2024'te DDoS saldırıları %20 arttı ve devlet destekli aktörler bu saldırıları daha sık kullandı.

    Öne Çıkan Olaylar:
    • 4.2 Tbps’lik Rekor DDoS Saldırısı: Telekom ve finans sektörlerini hedef aldı.
    • Devlet Destekli DDoS Kampanyaları: Çin ve diğer ülkeler kritik altyapıları hedef aldı.
    Savunma Stratejileri:
    • İçerik Dağıtım Ağları (CDN) ile trafiği dağıtın.
    • DDoS azaltma hizmetlerini kullanın.
    • Ağ trafiğini anormallikler açısından izleyin.

    4. İç Tehditler (Insider Threats)

    İç tehdit olayları 2023’e kıyasla 5 kat arttı. Bu tehditler, kötü niyetli çalışanlardan veya farkında olmadan hatalar yapan personelden kaynaklandı.

    Öne Çıkan Olaylar:
    • Hathway ISP Veri Sızıntısı: 41.5 milyon müşteriye ait 200 GB hassas veri sızdırıldı.
    Savunma Stratejileri:
    • Sıfır Güven Mimarisi (Zero Trust) ile erişimi sınırlandırın.
    • Kullanıcı davranışlarını izlemek için analiz araçları kullanın.
    • Erişim izinlerini düzenli olarak denetleyin.

    5. Gelişmiş Kalıcı Tehditler (APT - Advanced Persistent Threats)

    APTs, uzun vadeli veri hırsızlığı ve altyapı sabotajı için tasarlanan sofistike saldırılardır.

    Öne Çıkan Olaylar:
    • Volt Typhoon Kampanyası: Çin destekli bu grup, ABD’de kritik altyapıları hedef aldı.
    Savunma Stratejileri:
    • Ağ izleme ve saldırı tespit sistemlerini (IDS) kullanın.
    • Yazılımları düzenli olarak güncelleyin.
    • Ağ segmentasyonu ile saldırganların yayılmasını önleyin.

    6. Ortadaki Adam (MitM) Saldırıları

    Saldırganlar, iki taraf arasındaki iletişimi ele geçirerek verileri çaldı veya değiştirdi.

    Savunma Stratejileri:
    • HTTPS bağlantılarını zorunlu hale getirin.
    • Genel Wi-Fi kullanırken VPN kullanın.
    • Güçlü şifreleme protokolleri uygulayın.

    7. Tedarik Zinciri Saldırıları

    Saldırganlar, üçüncü taraf tedarikçiler üzerinden büyük şirketleri hedef aldı.
    Savunma Stratejileri:
    • Tedarikçileri sıkı güvenlik kontrollerinden geçirin.
    • Tedarik zinciri aktivitelerini sürekli izleyin.
    • Uç nokta güvenlik çözümlerini kullanın.

    8. Kod Enjeksiyonu Saldırıları

    SQL Enjeksiyonu ve Siteler Arası Komut Dosyası (XSS) saldırıları, zayıf güvenliğe sahip web uygulamalarını hedef aldı.

    Savunma Stratejileri:
    • Kullanıcı girişlerini doğrulayın.
    • Web Uygulama Güvenlik Duvarı (WAF) kullanın.
    • Düzenli güvenlik testleri gerçekleştirin.

    9. Brute Force (Kaba Kuvvet) Saldırıları

    Saldırganlar, oturum açma bilgilerini deneme-yanılma yöntemiyle kırmaya çalıştı.

    Savunma Stratejileri:
    • Güçlü parola politikalarını uygulayın.
    • Başarısız giriş denemelerinden sonra hesapları kilitleyin.
    • MFA kullanarak ek güvenlik katmanı oluşturun.

    10. DNS Tünelleme (DNS Tunneling)

    DNS istekleri üzerinden kötü amaçlı veriler gönderilerek güvenlik önlemleri atlatıldı.

    Savunma Stratejileri:
    • DNS trafiğini anormallikler açısından izleyin.
    • Harici DNS sorgularını güvenlik duvarlarıyla sınırlayın.
    • DNS güvenlik çözümleri kullanın.

    Siber Güvenlikte Yalnız Değilsiniz!

    Siber tehditlerin hızla arttığı günümüzde, işletmelerin her güvenlik açığını takip etmesi ve saldırılara karşı sürekli tetikte olması kolay değil. Güvenliği sağlamak artık yalnızca bir güvenlik duvarı veya antivirüsle mümkün değil; proaktif, dinamik ve sıfır güven (Zero Trust) yaklaşımı gerektiriyor. İşte bu noktada TINA Advanced Protection ve TINA Isolator devreye giriyor.

    🔹 TINA Advanced Protection, iç ağınızdaki tehditleri erken tespit ederek sistemlerinizi saldırılara karşı güçlendirirken,
    🔹 TINA IsolatorZero Trust modeli ile dışarı açık servislerinizi siber saldırılara karşı korur.

    Ayrıca, ihtiyacınıza özel siber güvenlik hizmetlerimiz ile güvenlik açıklarını analiz eder, proaktif koruma stratejileri geliştirir ve işletmenizin siber dirençliliğini artırırız.

    Eğer bu tehditlerle başa çıkmanın zor olduğunu düşünüyorsanız veya nereden başlayacağınızı bilmiyorsanız, biz yanınızdayız. Siber güvenliğinizi sağlamak için bize ulaşın, birlikte en doğru çözümleri oluşturalım!

    2024'te Rekor Seviyede 40.009 CVE Yayınlandı

    Siber güvenlik dünyası, 2024 yılında benzeri görülmemiş güvenlik açıklarıyla karşı karşıya kaldı ve yıl boyunca toplam 40.009 Ortak Güvenlik Açıkları ve Açıklıkları (CVE - Common Vulnerabilities and Exposures) kaydedildi.

    Bu rakam, 2023'te rapor edilen 28.818 CVE'ye kıyasla %38'lik bir artışı ifade ediyor ve siber tehditlerin ne kadar hızlı evrildiğini gözler önüne seriyor.

    CVE sayısındaki bu keskin artış, yazılım sistemlerinin artan karmaşıklığını ve saldırganlar için genişleyen saldırı yüzeyini yansıtıyor.

    Günlük ortalama 108 yeni güvenlik açığı açıklanırken, siber güvenlik uzmanları sürekli teyakkuzda kalmak zorunda kaldı.

    Mayıs ayı5.010 CVE ile en kritik dönem olarak öne çıktı ve yılın toplam güvenlik açıklarının %12,5'ini oluşturdu.

    Özellikle 3 Mayıs 2024, tek bir günde 824 CVE yayınlanarak tarihi bir rekor kırdı.

    Ayrıca, Salı günleri en yoğun CVE açıklamalarının yapıldığı gün olarak belirlendi; yıl boyunca 9.706 CVE (%24,3) bu gün duyuruldu.
     

    Şiddet Derecesi ve Etkileri

    Ortak Güvenlik Açığı Puanlama Sistemi (CVSS - Common Vulnerability Scoring System), bu açıkların ciddiyet seviyelerini ortaya koydu.

    2024 yılı için ortalama CVSS skoru 6,67 olarak belirlendi, bu da açıkların genel olarak orta ila yüksek düzeyde risk taşıdığını gösteriyor.

    Daha da endişe verici olan ise 231 güvenlik açığının tam 10.0 puan alması, yani kritik güvenlik riskleri taşımasıydı.

    Bu güvenlik açıklarındaki artışın küresel çapta büyük sonuçları oldu.

    Qualys raporuna göre2024'ün ilk 7,5 ayında açıklanan yeni CVE sayısı, 2023'ün aynı dönemine kıyasla %30 artış gösterdi.

    Bununla birlikte, tüm bu güvenlik açıklarının yalnızca 204'ü (%0,9) tehdit aktörleri tarafından kullanılabilir hale getirildi.

    Bununla birlikte, güvenlik açıklarının artışı siber saldırılarda da bir yükselişi beraberinde getirdi.

    Özellikle fidye yazılımı (ransomware) saldırıları 2023’te dünya genelinde en sık rapor edilen siber saldırı türü oldu.

    2024 yılında işletmelerin %81’i kötü amaçlı yazılım (malware) tehditleriyle karşılaştı, bu da bu güvenlik sorununun devam ettiğini gösteriyor.

    Ayrıca, güvenlik açıklarından yararlanma, saldırganlar için sistemlere sızmada en yaygın kullanılan yöntem olmaya devam etti.

    2024’te en çok istismar edilen CVE’ler arasındaPalo Alto Networks PAN-OS, Check Point Security Gateways ve Windows SmartScreen, Fortigate gibi yaygın kullanılan sistemlerde bulunan açıklar yer aldı.
     

    Sektörün Yanıtı ve Öneriler

    Siber güvenlik topluluğu, bu artışı daha fazla iş birliği ve gelişmiş güvenlik yönetimi stratejileriyle karşılamaya çalıştı.

    MITRE CorporationHaziran 2023 - Haziran 2024 arasında incelenen 31.770 CVE kaydıyla, güvenlik açıklarının daha doğru şekilde haritalanmasını ve sınıflandırılmasını sağladı.

    Uzmanlar, kuruluşların güvenlik açıklarıyla başa çıkmak için şu adımları izlemelerini tavsiye ediyor:
    • Güçlü ve dinamik bir güvenlik açığı yönetim stratejisi uygulamak
    • Özellikle yüksek EPSS (Exploit Prediction Scoring System) puanına sahip güvenlik açıklarına öncelik vererek yamaları hızlı bir şekilde dağıtmak
    • Yalnızca PCI DSS gibi uyumluluk gerekliliklerine odaklanmak yerine, kapsamlı bir güvenlik yaklaşımı benimsemek
    2025’e ilerlerken, güvenlik açıklarının artış trendinin devam etmesi bekleniyor.

    Bu durum, kuruluşların güvenlik önlemlerine daha fazla yatırım yapmasınıproaktif güvenlik yönetim stratejilerini benimsemesini ve tehditlere karşı sürekli tetikte olmasını zorunlu kılıyor.

    Yazılım sistemleri giderek daha karmaşık ve bağlantılı hale geldikçe, güvenlik açıklarının tespiti ve açıklanması sürecinin de hızlanacağı öngörülüyor.

    Bu nedenle, kuruluşların güvenlik stratejilerini sürekli olarak güncellemesi ve dijital varlıklarını etkili bir şekilde korumak için güçlü güvenlik önlemleri alması kritik bir gereklilik haline gelmiştir.
     

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    31 Aralık 2024

    Siber Güvenlik Bülteni - Aralık 2024


    Bültenimizin Aralık Ayı konu başlıkları; 
      • Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı
      • Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı
      • Dell SupportAssist Yazılımında Güvenlik Açığı
      • Japan Airlines (JAL), Siber Saldırıya Uğradı
      • Romanya Seçimlerine Siber Saldırı

      Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı

      Sophos, güvenlik duvarı ürünlerinde uzaktaki saldırganların kimlik doğrulama olmadan rastgele kod çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığı için yamalar yayınladı.

      CVE-2024-12727 olarak izlenen bu güvenlik açığı, e-posta koruma özelliğini etkileyen bir SQL enjeksiyonu hatası olarak tanımlanıyor. Bu açık, saldırganların güvenlik duvarlarının raporlama veritabanına erişmesini sağlıyor.

      Bu güvenlik açığı, Secure PDF eXchange (SPX) özelliğinin belirli bir yapılandırmasının etkinleştirilmesi ve güvenlik duvarının Yüksek Erişilebilirlik (HA) modunda çalıştırılması durumunda uzaktan kod yürütme (RCE) için kötüye kullanılabiliyor.

      Sophos’un güvenlik danışmanlığına göre, bu açık 21.0 MR1 (21.0.1) sürümünden önceki güvenlik duvarı ürünlerini etkiliyor ve cihazların yalnızca %0.05’ini kapsıyor.

      Geçen hafta şirket, güvenlik duvarı ürünlerinin 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4 ve 19.0 MR2 sürümleri için hızlı yamalar yayınladı. Bu yamalar ayrıca Sophos Güvenlik Duvarı 21.0 MR1 sürümüne de dahil edildi.

      Güncellenen sürüm, aynı zamanda CVE-2024-12728 kodlu zayıf kimlik bilgileri hatasını da ele alıyor.

      Bu güvenlik açığını azaltmak için kullanıcıların SSH erişimini yalnızca fiziksel olarak ayrılmış özel HA bağlantısıyla sınırlamaları veya HA yapılandırmasını yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmaları gerekiyor. Ayrıca WAN üzerinden SSH erişimi devre dışı bırakılmalıdır.

      Ek olarak, CVE-2024-12729 kodlu, kimliği doğrulanmış saldırganların uzaktan rastgele kod çalıştırmasına izin verebilecek Kullanıcı Portalı'nda bir kod enjeksiyonu açığı için de yamalar yayınlandı.

      Sophos, bu açığın kötüye kullanılmasını önlemek için kullanıcıların WAN üzerinden Kullanıcı Portalı ve Webadmin erişimini devre dışı bırakmalarını öneriyor.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı

      Palo Alto Networks, yeni nesil güvenlik duvarlarını çalıştıran PAN-OS yazılımında CVE-2024-3393 kodlu yüksek öneme sahip bir güvenlik açığını açıkladı.

      Bu açık, kimliği doğrulanmamış saldırganların özel olarak hazırlanmış DNS paketleri göndererek DNS Güvenlik özelliğini istismar etmesine olanak tanır ve Hizmet Reddi (DoS) durumuna yol açar. Güvenlik açığı, etkilenen güvenlik duvarlarının yeniden başlatılmasına ve tekrar tekrar istismar edilmesi durumunda bakım moduna geçmesine neden olabilir.

      Sorun, PAN-OS DNS Güvenlik özelliğinin istisnai koşulları düzgün şekilde ele almamasından kaynaklanıyor. Saldırganlar, güvenlik duvarının veri düzleminden kötü amaçlı paketler göndererek çökmesine ve yeniden başlatılmasına yol açabilir.

      Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve ciddi kesinti potansiyeline işaret eder. Saldırı karmaşıklığı düşüktür, kullanıcı etkileşimi veya özel ayrıcalıklar gerektirmez ve ağ üzerinden uzaktan gerçekleştirilebilir.
       
      Etkilenen Sürümler

      Bu güvenlik açığı, birden fazla PAN-OS sürümünü etkilemektedir:
      • PAN-OS 11.2: 11.2.3'ten önceki sürümler etkilenmiştir.
      • PAN-OS 11.1: 11.1.5'ten önceki sürümler etkilenmiştir.
      • PAN-OS 10.2: 10.2.8'den önceki sürümler etkilenmiştir (ek düzeltmeler bakım güncellemelerinde mevcuttur).
      • PAN-OS 10.1: 10.1.14'ten önceki sürümler etkilenmiştir.
      Prisma Access müşterileri de savunmasız PAN-OS sürümlerini kullanmaları durumunda risk altındadır.
      Palo Alto Networks, saldırganların bu güvenlik açığını üretim ortamlarında başarıyla kullanarak Hizmet Reddi (DoS) koşulları oluşturduklarını doğrulamıştır.

      Bu güvenlik açığı, gizlilik veya bütünlüğü tehlikeye atmasa da, kullanılabilirliği önemli ölçüde etkiler ve ağ güvenliğine bağımlı kuruluşlar için kritik bir endişe kaynağıdır.
       
      Yayınlanan Yamalar

      Palo Alto Networks, bu güvenlik açığını ele almak için aşağıdaki sürümlerde yamalar yayınlamıştır:
      • PAN-OS 10.1.14-h8
      • PAN-OS 10.2.10-h12
      • PAN-OS 11.1.5
      • PAN-OS 11.2.3
      Müşterilere riskleri azaltmak için bu sürümlere veya daha yeni sürümlere güncellemeleri şiddetle önerilmektedir.
       
      Geçici Çözümler (Yama Uygulanamıyorsa)

      Düzeltmeleri hemen uygulayamayanlar için geçici çözümler şunları içerir:
      1. Objects → Security Profiles → Anti-spyware → DNS Policies yolunu izleyin.
      2. Tüm DNS Güvenlik kategorileri için “Log Severity” ayarını “none” olarak belirleyin.
      3. Değişiklikleri kaydedin ve yamalar uygulandıktan sonra ayarları geri alın.
       
      Kuruluşların Atması Gereken Adımlar
      • Sistemlerin güvenliğini sağlamak için yamaları hemen uygulayın.
      • Yama uygulanamıyorsa önerilen geçici çözümleri hayata geçirin.
      • Güvenlik duvarı davranışını, beklenmeyen yeniden başlatmalar veya bakım modu durumları için izleyin.
      • Güvenlik danışmanlıklarını düzenli olarak gözden geçirin ve yazılım sürümlerini güncel tutun.
      Bu güvenlik açığı, ağ altyapısını gelişen tehditlere karşı korumak için zamanında yama yönetiminin ve güçlü izleme uygulamalarının kritik önemini bir kez daha vurgulamaktadır.

      Dell SupportAssist Yazılımında Güvenlik Açığı

      Dell'in yaygın olarak kullanılan SupportAssist yazılımında yeni ortaya çıkan yüksek etkili bir güvenlik açığı, saldırganların etkilenen sistemlerde ayrıcalıkları yükseltmesine olanak tanıyabilir.

      CVE-2024-52535 olarak tanımlanan bu güvenlik açığı, sistem bütünlüğünü tehlikeye atma ve operasyonları aksatma potansiyeli nedeniyle siber güvenlik uzmanları ve son kullanıcılar arasında ciddi endişelere yol açtı.

      Güvenlik Açığı Detayları

      CVE-2024-52535, şu sürümleri etkiliyor:
      • Dell SupportAssist for Home PCs: 4.6.1 ve önceki sürümler
      • Dell SupportAssist for Business PCs: 4.5.0 ve önceki sürümler
      Bu güvenlik açığı, yazılımın iyileştirme bileşenindeki sembolik bağlantı (symlink) saldırısından kaynaklanıyor.

      Saldırganlar, bu güvenlik açığını kullanarak düşük ayrıcalıklı kimlik doğrulanmış kullanıcı hesapları üzerinden yetkilerini yükseltebilir ve sistemde yetkisiz işlemler gerçekleştirebilir. Buna, dosya ve klasörlerin keyfi olarak silinmesi gibi kritik yetkilendirilmemiş işlemler de dahildir.

      Bu tür bir sömürü, saldırganların kritik dosyaları sabote ederek sistemleri kullanılamaz hale getirmesi gibi ciddi riskler yaratabilir.

      Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve saldırının yerel erişim gerektirdiğini, ancak düşük karmaşıklıkta olduğunu ve saldırganların bunu nispeten kolayca istismar edebileceğini belirtir.
       
      Etkilenen Ürünler ve Çözüm Yolları
       
      ÜrünEtkilenen SürümlerDüzeltme Yapılmış Sürümler
      SupportAssist for Home PCs4.6.2'den önceki sürümler4.6.2 veya daha yeni sürümler
      SupportAssist for Business PCs4.5.1'den önceki sürümler4.5.1 veya daha yeni sürümler

      Dell Technologies, bu güvenlik açığına yönelik riskleri azaltmak için kullanıcıların en kısa sürede düzeltme yapılmış sürümlere güncelleme yapmasını şiddetle önermektedir.
       
      Riskleri Azaltmak İçin Atılması Gereken Adımlar
      1. SupportAssist'i Güncelleyin:
        • Home PC kullanıcıları: 4.6.2 veya daha yeni sürümler
        • Business PC kullanıcıları: 4.5.1 veya daha yeni sürümler
        • Güncellemeler yalnızca Dell'in resmi bağlantıları üzerinden indirilmelidir.
      2. Güvenlik Önlemlerini Gözden Geçirin:
        • Erişim kontrollerinin doğru yapılandırıldığından emin olun.
        • Şüpheli etkinlikleri izleyin ve özellikle etkilenmiş sürümleri çalıştıran sistemleri kontrol edin.
      3. Düzenli Bakım Uygulayın:
        • Yazılım güncellemeleri için düzenli kontroller yapın.
        • Mevcut ve gelecekteki güvenlik açıklarının istismarını önlemek için tüm cihazların en son yamalarla güncel olduğundan emin olun.

      Japan Airlines (JAL), Siber Saldırıya Uğradı

      Şu ana kadar dokuz uçuş, sistem arızaları nedeniyle ertelendi ve daha fazla aksaklık bekleniyor. JAL sözcüsü, ek gecikmeler veya iptallerin yaşanabileceğini kabul etti, ancak etkinin boyutuna dair net detaylar vermedi.

      Bu olay, Japonya’nın havacılık sektöründe artan siber güvenlik tehditlerini bir kez daha gözler önüne seriyor. JAL, son dönemde siber saldırıya maruz kalan Japon şirketleri listesine katıldı.
      • 2022 yılında, benzer bir saldırı, Toyota'nın bir tedarikçisinin operasyonlarını aksatmış ve Japonya’daki yerel fabrikalarda üretim bir günlüğüne durdurulmuştu.
      • 2024 Haziran ayında, video paylaşım platformu Niconico, geniş çaplı bir siber saldırı nedeniyle hizmetlerini askıya almak zorunda kalmıştı.
      Havacılık Sektöründe Artan Tehditler

      JAL’a yapılan bu saldırı, küresel ölçekte kritik altyapı sektörlerindeki artan güvenlik açıklarını yansıtıyor. Havacılık sektörü, biletleme ve bagaj yönetimi gibi operasyonların dijital sistemlere bağımlılığı nedeniyle bu tür tehditlere karşı daha savunmasız durumda.

      Şirket, saldırının faili veya doğası hakkında detaylı bilgi paylaşmazken, siber güvenlik uzmanları ve yetkililerle iş birliği içinde çalıştıklarını belirtti. Uzmanlar, bu tür saldırıların hassas verileri tehlikeye atabileceği veya hayati hizmetleri aksatabileceği konusunda uyarıda bulunuyor.

      Bu siber saldırı, dijitalleşen dünyada kritik sektörlerin karşı karşıya kaldığı güvenlik açıklarının ciddiyetini bir kez daha hatırlatıyor.

      Romanya Seçimlerine Siber Saldırı

      Romanya Anayasa Mahkemesi, Rusya'nın seçimlere müdahale ettiği iddiaları üzerine tarihi bir karar alarak cumhurbaşkanlığı seçimlerinin ilk tur sonuçlarını iptal etti.

      Bu karar doğrultusunda, 8 Aralık 2024 tarihinde yapılması planlanan ikinci tur seçim gerçekleşmeyecek. İlk turu kazanan Călin Georgescu, kararı “resmileşmiş bir darbe” ve demokrasiye yapılan bir saldırı olarak nitelendirdi.

      Anayasa Mahkemesi tarafından yapılan açıklamada şu ifadelere yer verildi:

      "Romanya Cumhurbaşkanı'nın seçilmesine yönelik seçim süreci tamamen yeniden başlatılacak. Hükümet, cumhurbaşkanlığı seçiminin yeni tarihini ve gerekli eylemlerin uygulanması için yeni bir takvim programı belirleyecektir."

      Mahkeme, kararın Anayasa'nın 146(f) maddesine dayanarak alındığını ve seçim sürecinin adil ve yasal bir şekilde yürütülmesinin gerekliliğine vurgu yapıldığını belirtti. Kararın nihai ve bağlayıcı olduğu ifade edildi
      .
      Rus Müdahalesi İddiaları

      Bu karar, Romanya hükümetinin açıkladığı gizliliği kaldırılmış belgelerden günler sonra geldi. Belgelerde, TikTok’ta 25.000 hesaplı bir ağın Călin Georgescu’yu desteklemek için koordineli bir şekilde kullanıldığı ve bunun pro-Rusya etkisi taşıdığı iddia ediliyor.

      Bununla birlikte, Georgescu’nun bu kampanyadan haberdar olup olmadığı ya da destek verip vermediği belgelerden netleşmedi. Rusya ise seçim sürecine herhangi bir müdahalede bulunmadığını belirtti.

      Ayrıca, Romanya İstihbarat Servisi (SRI)seçimlerin ilk turu öncesinde ve sırasında 85.000'den fazla siber saldırı girişimi tespit edildiğini açıkladı. Bu girişimlerin amacı, seçim web siteleri ve BT sistemlerine erişim sağlamaktı.

      SRI, saldırıların ölçeği ve operasyon şeklinin, "devlet destekli bir saldırgana özgü geniş kaynakların kullanıldığını" gösterdiğini belirtti.
       
      Uluslararası Tepkiler

      ABD Dışişleri Bakanlığı Sözcüsü Matthew Miller, şu açıklamada bulundu:

      "Rumen halkı, seçimlerinin demokratik iradelerini yansıttığından ve adil bir şekilde yabancı kötü niyetli etkilerden arındırıldığından emin olmalıdır."

      Avrupa Komisyonu ise TikTok’a yönelik gözetimlerini artırdığını ve platformdan "seçim süreçlerine ve toplumsal söyleme yönelik sistemik riskler taşıyabilecek verilerin dondurulması ve korunması" talebinde bulundu.

      Komisyon ayrıca TikTok’tan:
      • Öneri sistemlerinin tasarımı ve işleyişine ilişkin iç belgeleri,
      • Koordineli sahte davranışlar (CIB) yoluyla manipülasyon risklerine karşı aldıkları önlemleri açıklamalarını istedi.
       
      TikTok’un Müdahalesi ve Araştırmalar

      TikTok, Kasım 2024’ün sonlarında iki küçük ağ tespit ettiğini duyurdu. Ağlardan biri 78 hesap, diğeri ise 12 hesaptan oluşuyordu ve bu hesaplar Georgescu ve bağımsız aday Mircea Geoană lehine kampanya yürütüyordu.

      Eylül ayında ise platform, Romanya’dan faaliyet gösteren ve hükümet karşıtı anlatıları yaymak için sahte hesaplar kullanan 22 hesabı kapattığını duyurdu. Bu ağın toplamda 300.000 takipçisi bulunuyordu.

      TikTok tarafından yapılan açıklamada şu ifadeler yer aldı:
      "Romanya seçimlerini hedefleyen ağlar, TikTok üzerinde küçük ölçekli, ülke içinde koordine edilmiş operasyonlar şeklinde tespit edilmiştir. Platform dışı faaliyetleri de yakından takip ederek gizli etki operasyonlarını ve yanıltıcı davranışları önlemeye çalışıyoruz."

      Avrupa Komisyonu, TikTok’u Resmen Soruşturuyor

      17 Aralık 2024 tarihinde Avrupa Komisyonu, TikTok’un Dijital Hizmetler Yasası’nı (DSA) ihlal edip etmediğine dair resmi bir soruşturma başlattığını duyurdu.

      Avrupa Komisyonu Başkanı Ursula von der Leyen, şu açıklamada bulundu:

      "Romanya cumhurbaşkanlığı seçimlerine yabancı aktörlerin TikTok üzerinden müdahale ettiğine dair ciddi belirtiler sonrasında, TikTok’un Dijital Hizmetler Yasası’nı ihlal edip etmediğini detaylı bir şekilde araştırıyoruz."

      Bu olay, seçim güvenliğinin dijital dünyada ne kadar kritik olduğunu ve sosyal medya platformlarının siyasi manipülasyonlar için nasıl araçsallaştırılabileceğini bir kez daha gözler önüne seriyor. Romanya’nın seçim sürecinin yeniden başlatılması, ülke demokrasisi ve dijital güvenlik açısından önemli bir dönüm noktası olarak tarihe geçti.
       

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Geçmiş Bültenlerimizi Blog Adresimizden Takip Edebilirsiniz

      Popüler Yayınlar