01 Temmuz 2024

Siber Güvenlik Bülteni - Haziran 2024

 

Bültenimizin Haziran Ayı konu başlıkları; 
    • Fortinet, FortiOS Zafiyeti
    • VMware, Kritik vCenter RCE Zafiyeti
    • Botnet, Zyxel NAS Zafiyetini Kullanıyor
    • İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

    Fortinet, FortiOS Zafiyeti

    Fortinet, FortiOS'un komut satırı yorumlayıcısında çoklu yığın tabanlı arabellek taşması güvenlik açıklarını (CVE-2024-23110) açıkladı.

    Etkilenen Sürümler ve Çözümler

    Bu güvenlik açıkları, FortiOS'un çeşitli sürümlerini etkilemektedir.
    • FortiOS 7.4: 7.4.0 ile 7.4.2 sürümleri etkilenmiştir. Kullanıcılar 7.4.3 veya üstü sürüme yükseltmelidir.
    • FortiOS 7.2: 7.2.0 ile 7.2.6 sürümleri etkilenmiştir. Kullanıcılar 7.2.7 veya üstü sürüme yükseltmelidir.
    • FortiOS 7.0: 7.0.0 ile 7.0.13 sürümleri etkilenmiştir. Kullanıcılar 7.0.14 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.4: 6.4.0 ile 6.4.14 sürümleri etkilenmiştir. Kullanıcılar 6.4.15 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.2: 6.2.0 ile 6.2.15 sürümleri etkilenmiştir. Kullanıcılar 6.2.16 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.0: Tüm sürümler etkilenmiştir. Kullanıcılar sabit bir sürüme geçmelidir.

    Fortinet, sabit sürümlere sorunsuz geçiş sağlamak için yükseltme yolu aracını kullanmayı önermektedir. Araca Fortinet'in Yükseltme Yolu Aracı'ndan erişilebilir.

    Bu güvenlik açıkları, FortiOS komut satırı yorumlayıcısındaki komut satırı argümanlarının hatalı işlenmesinden kaynaklanmaktadır.

    Kimliği doğrulanmış bir saldırgan, özel olarak hazırlanmış komut satırı argümanları göndererek bu güvenlik açıklarından yararlanabilir ve yetkisiz kod veya komut çalıştırabilir.

    Önleme ve Öneriler

    Fortinet, etkilenen tüm FortiOS sürümlerini kullanan kullanıcıların riskten korunmak için mümkün olan en kısa sürede önerilen sürümlere yükseltmelerini tavsiye eder.

    Kullanıcılar ayrıca, komut satırı arayüzüne erişimi güvenilir kullanıcılarla sınırlandırmak ve olağandışı etkinlikleri izlemek gibi ağ güvenliği için en iyi uygulamaları takip etmelidir.

    FortiGate cihazınıza giriş yaparak mevcut FortiOS sürümünü kontrol edin.

    Yükseltme Yolu Aracını Kullanma

    Yükseltme Yolu Aracına Erişme: Fortinet’in Yükseltme Yolu Aracı’nı ziyaret edin.
    Ürün ve Sürümleri Seçme: Mevcut FortiGate ürününüzü, mevcut FortiOS sürümünüzü ve hedef FortiOS sürümünü seçin.
    Önerilen Yolu Takip Edin: Araç, önerilen bir yükseltme yolu sağlayacaktır. Gerekirse tüm ara yazılım sürümlerini indirin.

    UYARI: Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi.

    Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    VMware, Kritik vCenter RCE Zafiyeti

    VMware, vCenter Server'da uzaktan kod yürütme ve yerel ayrıcalık yükseltme kusurlarını içeren kritik güvenlik açıklarını ele alan bir güvenlik danışma belgesi yayınladı.

    Üretici CVE-2024-37079CVE-2024-37080CVE-2024-37081 olarak adlandırılan üç güvenlik açığı için düzeltmeler yayınladı ve özet olarak şunları içerir:

    CVE-2024-37079: vCenter Server'ın DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı. Ağ erişimine sahip kötü niyetli bir aktörün özel olarak hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak uzaktan kod yürütmeye yol açabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

    CVE-2024-37080: vCenter Server'ın DCERPC protokolünde başka bir yığın taşması güvenlik açığı. CVE-2024-37079'a benzer şekilde, bir saldırganın özel olarak hazırlanmış paketler göndererek yığın taşmasını istismar etmesine ve potansiyel olarak uzaktan kod yürütmeye neden olabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

    CVE-2024-37081: vCenter Server'da sudo'nun yanlış yapılandırılmasından kaynaklanan bu güvenlik açığı, kimliği doğrulanmış yerel bir kullanıcının bu kusuru kullanarak vCenter Server Appliance'da root ayrıcalıklarına yükseltilmiş yetkilerle erişim sağlamasına izin verir. (CVSS v3.1 puanı: 7.8 “yüksek”)

    Yukarıdaki kusurlar VMware vCenter Server sürümleri 7.0 ve 8.0 ile VMware Cloud Foundation sürümleri 4.x ve 5.x'i etkilemektedir.

    VMware vCenter Server 8.0 U2d, 8.0 U1e ve 7.0 U3r sürümlerinde güvenlik güncellemeleri yayınlanmıştır. Cloud Foundation için yamalar KB88287 aracılığıyla sağlanmıştır.

    Üretici, vCenter Server'ı güncellemenin çalışan iş yüklerini veya sanal makineleri etkilemeyeceğini, ancak güncelleme sırasında vSphere Client ve diğer yönetim arayüzlerinde geçici bir kullanılabilirlik kesintisi yaşanabileceğini belirtiyor..

    Üretici, bu güvenlik açıkları için ürün içinde uygulanabilir bir geçici çözüm veya azaltma yöntemi bulunmadığını, bu nedenle önerilen çözümün mümkün olan en kısa sürede güncellemelerin uygulanması olduğunu belirtiyor.

    VMware, güvenlik bülteninde henüz zafiyetlerin aktif olarak kullanıldığına dair herhangi bir tespit olmadığını belirtiyor. Ancak, vCenter kusurlarının açıklanması durumunda tehdit aktörleri tarafından hedef alınması yaygın bir durum olduğundan, yöneticilerin güncellemeleri mümkün olan en kısa sürede uygulamaları gerekmektedir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Botnet, Zyxel NAS Zafiyetini Kullanıyor

    Shadowserver Foundation, kullanımdan kaldırılmış Zyxel NAS cihazlarında yeni açıklanan kritik seviyedeki bir güvenlik açığının botnet saldırılarında zaten istismar edildiği konusunda uyarıyor.

    CVE-2024-29973 olarak izlenen bu sorun, kimlik doğrulama gerektirmeden uzaktan istismar edilebilen bir kod enjeksiyon kusuru olarak tanımlanıyor. Geçen yıl, benzer bir kod enjeksiyon hatası olan CVE-2023-27992'yi yamaladığında ortaya çıkmıştı.

    Bu güvenlik açığını keşfeden ve bildiren uzmanlar, "Bu güvenlik açığını yamalarken, eski yöntemleri kullanan yeni bir uç nokta eklediler ve bunu yaparken, önceki hataların aynısını uyguladılar" şeklinde açıklama yapıyorlar.

    Araştırmacıya göre, bir saldırgan, uzaktan kod yürütme amacıyla bu güvenlik açığını istismar etmek için savunmasız bir cihaza özel olarak hazırlanmış HTTP POST istekleri gönderebilir.

    Geçen hafta sonunda, Shadowserver Foundation, bu güvenlik açığını hedef alan ilk istismar girişimlerini Mirai benzeri bir botnet tarafından görmeye başladığını açıkladı. Bu kusuru hedef alan teknik detaylar ve kavram kanıtı (PoC) kodu halka açık olarak mevcut.

    Zyxel, Haziran ayı başlarında CVE-2024-29973 ve diğer üç hata için yamalar yayınladı, ancak etkilenen ürünler olan NAS326 ve NAS542'nin Aralık 2023'te kullanımdan kaldırıldığını belirtti.

    Şirket, "CVE-2024-29972CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik seviye olması nedeniyle, Zyxel bu ürünlerin güvenlik desteğinin sona ermesine rağmen, uzatılmış destek alan müşteriler için yamalar sunmuştur" diye uyardı.

    NAS326 cihazları için V5.21(AAZF.17)C0 firmware sürümü bu kusurları çözerken, NAS542 ürünleri için Zyxel, hataları V5.21(ABAG.14)C0 firmware sürümünde ele aldı.

    Kullanıcılara cihazlarını mümkün olan en kısa sürede güncellemeleri ve desteklenen ürünlerle değiştirmeyi düşünmeleri tavsiye edilir. Botnet operatörleri de dahil olmak üzere tehdit aktörlerinin, yamaların yayınlandığı ürünlerindeki güvenlik açıklarını hedef aldığı bilinmektedir.

    İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

    İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'teki fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve planlı ameliyatların iptal edilmesine neden olduğunu doğruladı. Şirket, fidye yazılım saldırısının kurbanı olduğunu ve NHS uzmanlarının yardımıyla güvenlik ihlalini araştırdıklarını açıkladı.

    İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'e yapılan fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve 800'den fazla planlı ameliyat ile 700 ayakta tedavi randevusunun iptal edilmesine neden olduğunu doğruladı. Saldırı, Guy’s and St Thomas’ ve King’s College Hospital NHS Foundation Trust'larının yanı sıra güneydoğu Londra'daki birinci basamak sağlık hizmetlerini de olumsuz etkiledi.

    Saldırının arkasında Qilin fidye grubunun olduğundan şüpheleniliyor. Synnovis, saldırı sonrası sistemlerini kurtarmak için çalışmalarını sürdürüyor, ancak tam iyileşme zaman alacak ve bu süreçte testlerin ve randevuların yeniden planlanması gerekecek.

    NHS, kan eşleştirme testlerindeki aksaklıklar nedeniyle O tipi kan bağışları için acil bir çağrı yaptı. O Negatif ve O Pozitif kanın kullanımı artırılmış durumda, bu nedenle bağışçılardan kan vermeleri isteniyor. O Negatif kan, acil durumlarda evrensel olarak kullanılabilir ve bu nedenle kritik öneme sahip.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    31 Mayıs 2024

    Siber Güvenlik Bülteni - Mayıs 2024

     

    Bültenimizin Mayıs Ayı konu başlıkları; 
      • Check Point VPN Hedef Alınıyor
      • İvanti EPM Zafiyeti
      • HPE ArubaOS RCE Zafiyeti
      • F5 Next Centeral Manager Zafiyeti
      • Citrix Netscaler ADC ve Gateway Zafiyeti

      Check Point VPN Hedef Alınıyor

      Tehdit aktörleri, Check Point firmasının Pazartesi günü yayınladığı bir uyarıya göre, işletme ağlarına sızmak amacıyla Check Point Remote Access VPN cihazlarını hedef alıyor.

      Remote Access, tüm Check Point ağ güvenlik duvarlarına entegre edilmiştir. VPN istemcileri aracılığıyla kurumsal ağlara erişim için VPN olarak yapılandırılabilir veya web tabanlı erişim için bir SSL VPN Portalı olarak kurulabilir.

      Check Point, saldırganların yalnızca parola ile yapılan güvensiz kimlik doğrulaması kullanan eski yerel hesapları hedef aldığını ve ihlalleri önlemek için bu yöntemin sertifika kimlik doğrulaması ile birlikte kullanılması gerektiğini belirtiyor.

      Bu devam eden saldırılara karşı savunma yapmak için, Check Point müşterilerine Quantum Security Gateway ve CloudGuard Network Security ürünlerinde ve Mobile Access ve Remote Access VPN yazılımlarında bu tür savunmasız hesapları kontrol etmeleri konusunda uyarıda bulundu.

      Cisco VPN cihazları da yoğun şekilde hedef alınıyor

      Check Point, son aylarda VPN cihazlarının devam eden saldırılarda hedef alındığına dair uyarıda bulunan ikinci şirket oldu.

      Nisan ayında, Cisco da VPN ve SSH hizmetlerini hedef alan yaygın kimlik bilgisi brute-forcing saldırıları hakkında uyardı; bu saldırılar Cisco, Check Point, SonicWall, Fortinet ve Ubiquiti cihazlarını hedef alıyor.

      Bir ay önce, Cisco, Remote Access VPN (RAVPN) hizmetlerini çalıştıran Cisco Secure Firewall cihazlarını hedef alan bir dizi parola sprey saldırısı hakkında uyardı; bu saldırılar muhtemelen birinci aşama keşif faaliyetinin bir parçasıydı.

      Geçen ay, şirket ayrıca UAT4356 (diğer adıyla STORM-1849) en azından Kasım 2023'ten bu yana dünya genelindeki hükümet ağlarına sızmak için Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarında sıfırıncı gün hatalarını kullandığını ve ArcaneDoor olarak izlenen bir siber casusluk kampanyasını yürüttüğünü açıkladı. 

      Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      İvanti EPM Zafiyeti

      Ivanti, belirli koşullar altında uzaktan kod yürütme sağlamak için kullanılabilecek Endpoint Manager (EPM) içindeki birden fazla kritik güvenlik açığını gidermek için düzeltmeler yayınladı.

      On güvenlik açığından altısı – CVE-2024-29822 ile CVE-2024-29827 arasında (CVSS puanları: 9.6) – SQL enjeksiyonu hatalarıyla ilgilidir ve aynı ağdaki kimliği doğrulanmamış bir saldırganın rastgele kod çalıştırmasına olanak tanır.

      Kalan dört hata -- CVE-2024-29828CVE-2024-29829CVE-2024-29830 ve CVE-2024-29846 (CVSS puanları: 8.4) -- aynı kategoriye girer, ancak bu hatalar için saldırganın kimlik doğrulaması gerekmektedir.

      Bu eksiklikler, Ivanti EPM sürüm 2022 SU5 ve öncesindeki Core sunucusunu etkiler.

      Şirket ayrıca, özel olarak hazırlanmış bir dosya yükleyerek bir saldırganın uzaktan kod yürütmesini sağlayabilecek yüksek dereceli bir güvenlik açığını Avalanche sürüm 6.4.3.602'de (CVE-2024-29848, CVSS puanı: 7.2) gidermiştir.

      Ayrıca, beş diğer yüksek dereceli güvenlik açığı için de yamalar yayınlanmıştır: Neurons for ITSM'deki bir SQL enjeksiyonu (CVE-2024-22059) ve bir sınırsız dosya yükleme hatası (CVE-2024-22060), Connect Secure'deki bir CRLF enjeksiyonu hatası (CVE-2023-38551) ve Windows (CVE-2023-38042) ve Linux (CVE-2023-46810) için Secure Access istemcisindeki iki yerel ayrıcalık yükseltme sorunu.

      Ivanti, hataların vahşi doğada istismar edildiğine dair bir kanıt olmadığını veya bunların bir tedarik zinciri saldırısı yoluyla kötü niyetli olarak kod geliştirme sürecimize dahil edildiğine dair bir kanıt olmadığını vurguladı.

      Bu gelişme, Netflix tarafından geliştirilen Genie açık kaynaklı büyük veri düzenleme ve yürütme motorunun açık kaynağındaki (CVE-2024-4701, CVSS puanı: 9.9) kritik bir hatayla ilgili ayrıntılar ortaya çıktığında geldi; bu hata, uzaktan kod yürütmeye yol açabilir.

      Bir yol geçişi güvenlik açığı olarak tanımlanan eksiklik, dosya sisteminde rastgele bir dosya yazmak ve rastgele kod yürütmek için kullanılabilir. Yazılımın 4.3.18 öncesi tüm sürümlerini etkiler.

      Sorun, Genie'nin REST API'sinin kullanıcı tarafından sağlanan bir dosya adını talebin bir parçası olarak kabul edecek şekilde tasarlanmasından kaynaklanır ve bu da kötü niyetli bir aktörün, varsayılan ek depolama yolundan çıkmasını ve belirtilen bir yola herhangi bir kullanıcı tarafından belirlenmiş adla bir dosya yazmasını sağlayacak bir dosya adı oluşturmasına olanak tanır.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      HPE ArubaOS RCE Zafiyeti
       

      HPE Aruba NetworkingArubaOS olarak bilinen özel ağ işletim sisteminin birçok sürümünü etkileyen kritik uzaktan kod yürütme (RCE) açıklarını yayınladı.

      Üretici, dört tanesi kritik öneme sahip (CVSS v3.1: 9.8) uzaktan kod yürütme (RCE) ile sonuçlanabilecek kimlik doğrulamasız tampon taşma sorunları olan on güvenlik açığını listeledi.

      Yeni açıklanan açıklar tarafından etkilenen ürünler şunlardır:

      HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways ve Aruba Central tarafından yönetilen SD-WAN Gateways.
      ArubaOS 10.5.1.0 ve altı, 10.4.1.0 ve daha eski, 8.11.2.1 ve altı, ve 8.10.0.10 ve daha eski sürümler. EoL (Son Kullanım Tarihi) aşamasına gelmiş tüm ArubaOS ve SD-WAN sürümleri. Bu, 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 altındaki ArubaOS sürümleri ve SD-WAN 2.3.0 ile 8.7.0.0 ve 2.2 ile 8.6.0.4 arasındaki sürümleri içerir.

      Dört kritik uzaktan kod yürütme açığı şunlardır:

      CVE-2024-26305 – ArubaOS'un Utility daemon'unda, PAPI (Aruba'nın erişim noktası yönetim protokolü) UDP portuna (8211) özel olarak hazırlanmış paketler göndererek kimliği doğrulanmamış bir saldırganın uzaktan rastgele kod yürütmesine izin veren bir hata.

      CVE-2024-26304 – L2/L3 Yönetim servisinde, PAPI UDP portuna özel hazırlanmış paketler göndererek kimliği doğrulanmamış uzaktan kod yürütmeye izin veren bir hata.

      CVE-2024-33511 – Kimliği doğrulanmamış saldırganların rastgele kod yürütmesine izin vermek için PAPI protokol portuna özel olarak hazırlanmış paketler göndererek yararlanılabilecek Otomatik Raporlama servisindeki bir güvenlik açığı.

      CVE-2024-33512 – PAPI protokolü üzerinden erişilen Yerel Kullanıcı Kimlik Doğrulama Veritabanı servisindeki bir tampon taşma hatasını kullanarak kimliği doğrulanmamış uzaktan saldırganların kod yürütmesine izin veren bir hata.

      Bu açıkları hafifletmek için, üretici Enhanced PAPI Security'yi etkinleştirmeyi ve ArubaOS'un yamalı sürümlerine yükseltmeyi önerir.

      En son sürümler ayrıca, savunmasız cihazlarda hizmet reddine neden olabilecek ve maliyetli operasyonel kesintilere yol açabilecek kimliği doğrulanmamış saldırganların neden olabileceği altı adet "orta" dereceli (CVSS v3.1: 5.3 – 5.9) başka güvenlik açığını da ele alır.

      Tüm bu on hatayı gideren hedef yükseltme sürümleri şunlardır:
      • ArubaOS 10.6.0.0 ve üstü
      • ArubaOS 10.5.1.1 ve üstü
      • ArubaOS 10.4.1.1 ve üstü
      • ArubaOS 8.11.2.2 ve üstü
      • ArubaOS 8.10.0.11 ve üstü

      F5 Next Centeral Manager Zafiyeti

      F5 Next Central Manager'da keşfedilen iki güvenlik açığı, bir tehdit aktörünün cihazların kontrolünü ele geçirmesini ve sürekli erişim için gizli sahte yönetici hesapları oluşturmasını sağlayabilecek şekilde istismar edilebilir.

      İki sorunun tanımı şu şekildedir:

      CVE-2024-21793 (CVSS puanı: 7.5) - Bir OData enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP NEXT Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir.
      CVE-2024-26026 (CVSS puanı: 7.5) - Bir SQL enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP Next Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir.

      Her iki açık da 20.0.1'den 20.1.0'a kadar olan Next Central Manager sürümlerini etkiler. Kusurlar 20.2.0 sürümünde düzeltilmiştir.

      Hataların başarılı bir şekilde istismar edilmesi cihazın tam yönetici kontrolüne yol açabilir ve saldırganlara Central Manager tarafından yönetilen herhangi bir BIG-IP Next varlığında yeni hesaplar oluşturma yeteneği sunabilir.

      Dahası, bu kötü niyetli hesaplar Central Manager'dan kendilerini gizli tutar. Bunun nedeni, belgelenmemiş bir API'yi çağırmayı mümkün kılan bir sunucu taraflı istek sahtekarlığı (SSRF) açığıdır ve bu hesapları oluşturur.

      Bu zafiyet ile, Central Manager'daki admin şifresi sıfırlandığında ve sistem yamalandığında, saldırgan erişimi hala kalabilir.

      Güvenlik açıklarının henüz aktif olarak istismar edildiğine dair bir işaret olmasa da, kullanıcıların potansiyel tehditleri en aza indirmek için versiyonlarını en son sürüme güncellemeleri önerilir.

      Son yıllarda, ağ ve uygulama altyapısı saldırganların ana hedeflerinden biri haline geldi. Bu yüksek ayrıcalıklı sistemleri istismar etmek, saldırganlara bir ortam içinde erişim sağlama, yayılma ve süreklilik sağlama ideal bir yol sunabilir.

      Citrix Netscaler ADC ve Gateway Zafiyeti

      Citrix, NetScaler Uygulama Teslim Kontrol (ADC) ve Gateway cihazlarında uzaktan, kimlik doğrulaması yapılmamış saldırganların etkilenen sistemlerin belleğinden potansiyel olarak hassas bilgileri elde etmelerini sağlayan bir güvenlik açığını sessizce gidermiş görünüyor.

      Bu güvenlik açığı, geçen yıl Citrix tarafından açıklanan kritik bir sıfır gün güvenlik açığı olan "CitrixBleed" (CVE-2023-4966) ile neredeyse aynı ancak o kadar ciddi değil.

      Saldırganlar, CitrixBleed'i fidye yazılımı dağıtmak, bilgi çalmak ve diğer kötü niyetli amaçlar için yaygın bir şekilde istismar ettiler. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), etkilenen kuruluşların sistemlerini yamalı NetScaler sürümlerine hızla güncellemeleri gerektiğini belirten birçok kuruluştan biriydi ve güvenlik açığını hedef alan yaygın saldırı raporlarına atıfta bulundu. Boeing ve Comcast Xfinity, saldırganların hedef aldığı birkaç büyük kuruluş arasında yer aldı.

      Buna karşılık, Güvenlik araştırmacıları Ocak ayında keşfettiği güvenlik açığı daha az tehlikeliydi çünkü saldırganların bu güvenlik açığı ile yüksek değerli herhangi bir bilgiyi ele geçirmeleri daha az olasıydı. Yine de, NetScaler sürüm 13.1-50.23'teki bu hata, saldırganların etkilenmiş cihazların işlem belleğinden HTTP istek gövdeleri de dahil olmak üzere bazı hassas bilgileri yakalamasına kapı araladı.

      Citrix, hatayı 13.1-51.15 sürümünde ele almadan önce bu hatayı ne zaman veya eğer bildirdiyse, bunun hakkında hemen bir açıklama yapmadı.

      CitrixBleed'de olduğu gibi, bu güvenlik açığı, NetScaler bileşenlerinin uzaktan erişim ve kimlik doğrulama, yetkilendirme ve denetim (AAA) sunucuları olarak kullanıldığında etkiledi. Özellikle, güvenlik araştırmacıları, Gateway ve AAA sanal sunucusunun HTTP ana bilgisayar istek başlıklarını güvensiz bir şekilde işlediğini buldu; bu, CitrixBleed'in de temel nedeniydi. Uzmanların kanıt kodu, uzak bir saldırganın güvenlik açığını potansiyel olarak yararlı bilgileri elde etmek için nasıl kullanabileceğini gösterdi.

      Uzmanlar, etkilenen NetScaler sürümünü çalıştıran kuruluşlara sürüm 13.1-51.15 veya sonrasına geçmelerini önerdi.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      29 Nisan 2024

      Siber Güvenlik Bülteni - Nisan 2024

       

      Bültenimizin Nisan Ayı konu başlıkları; 
        • Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız  
        • Palo Alto, PAN-OS Zafiyeti
        • Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor
        • Putty Zafiyeti
        • Ivanti MDM Kritik Zafiyet
        • Cisco Duo SMS ve VoIP Sızıntısı

        Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız

        Oldukça uzun dönem boyunca varlığı fark edilmeyen ve açık kalan bir çok zafiyeti dünyanın önde gelen markalarında, kabul edilebilecek seviyelerin oldukça üzerinde, şaşırtıcı düzeydeki bir sıklıkta gözlemlemekteyiz.

        Bu durum, marka büyüklüğü ile aynı oranda markaya karşı hissedilen güven duygusunun gözden geçirilmesi gerekliliğini hatırlatmakta.


        Çeşitli büyük ve bilindik markaları etkileyen sıfır gün açıklarının aktif olarak kullanıldığı ve bu şekilde uzunca dönem boyunca hedeflere sızma ve kalıcı erişim için gizli arka kapılar kurma girişimlerinin başarılı olduğu, sonuçlarıyla ortaya çıktığı gözlemleniyor.

        Markalarca üretilen güvenlik çözümlerinin, güvenlik camiasınca basit düzeyde olduğu gözlemlenen şaşırtıcı hataları, potansiyel riskleri arttırmakla kalmıyor, aynı zamanda dış ağ ile iç ağ arasındaki ayrımını belirsizleştiriyor, böylece kurumları büyük saldırılara karşı korumak yerine açık bir hedef haline getiriyor.

        Kullanılan çözüm sayısının artması, IT yöneticilerine satın alma ve kullanım aşamasında ek yük getirdiğinden farklı markalı ürünlerden uzak durulmasına, hatta kontrolün kolay olmasından dolayı "uçtan uca" aynı ürün kullanımına yol açtı. Ancak içeriye sızan bir saldırganın da aynı ürün açıklıkları veya erişim kolaylıkları ile "uçtan uca" ilerleme fırsatıyla baş başa kaldığını unutmamamız gerekiyor.

        Sistemlerde ortaya çıkan yetkisiz erişimlerin, bilgi çalınmalarının veya sistemlerin zarar görmesi olaylarının, IT yöneticisinin gündelik iş yoğunluklarını ve bütçe harcamalarını çok daha katlanılmaz hale getirdiğini ve işletmeyi daha çok yorduğunu söyleyebiliriz.

        Ortaya çıkan bu durumlara karşı atılabilecek en önemli adım; çözüm gamında farklı teknolojiler kullanılması ve farklı markalar ile çalışılması, yani kısacası önlemlerin çeşitlendirmesidir.
         

        Sunucu ve servislerinize İnternet üzerinden kısıtlı ve kontrollü erişimini sağlayan yeni güvenlik katmanı TINA ISOLATOR 'ü ücretsiz deneyebileceğinizi hatırlatırız. Yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Palo Alto, PAN-OS Zafiyeti

        Palo Alto Networks, 26 Mart'tan beri etkin olarak kötüye kullanılan bir sıfır gün açığı için düzeltmeler yayınlamaya başladı. Bu kritik güvenlik açığı (CVE-2024-3400), cihaz telemetriği ve GlobalProtect (gateway veya portal) etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 duvarlarını etkiliyor.

        Kimliği doğrulama aşaması öncesinde; saldırganlar kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarda, uzaktan kod çalıştırabilmek için bu zafiyeti kullanabilirler.

        Şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınladığı düzeltmelerle güvenlik açığını düzeltti. Daha sonraki PAN-OS sürümleri için daha fazla düzeltme yakında yayınlanacak.

        Palo Alto Networks'un aktif kötüye kullanım uyarısı, bu sıfır gün açığını keşfeden ve tehdit aktörlerinin Upstyle kötü amaçlı yazılımını kullanarak PAN-OS cihazlarına arka kapı bırakarak ağlara sızdığı ve veri çaldığını tespit eden güvenlik firması Volexity tarafından doğrulandı.

        Siber güvenlik araştırmacıları, CVE-2024-3400 saldırılarına karşı ilk belirlemelere göre savunmasız olan çevrimiçi 82.000'den fazla PAN-OS cihazı bulduğunu belirtti. CISA, CVE-2024-3400'ü Bilinen Sömürülen Güvenlik Açıklıkları (KEV) kataloğuna ekledi ve federal ajanslara tehdit önleme kuralını uygulayarak veya 19 Nisan'da bir hafta içinde telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını tavsiye etti.


        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor

        Şu anda hacker'lar 3.000'den fazla Fortinet SSL-VPN cihazına yönetici erişimi sunuyorlar. Bu ihlal, uzaktan erişim için bu cihazlara güvenen birçok kuruluşun güvenliğine ciddi bir tehdit oluşturuyor.

        Bir X hesabından atılan bir tweet, kimliği belirsiz bir hacker grubunun Fortinet SSL-VPN cihazlarındaki güvenlik açıklarını sömürmeyi başardığını gösteriyor. İşletmeler, bu cihazları uzaktan çalışan personelinin kurumsal ağlara güvenli erişimini sağlamak için yaygın olarak kullanıyorlar.

        Bu ihlal, yetkisiz erişime ve hassas kurumsal verilerin ve iç ağların erişilmesine izin verebilir.

        Potansiyel Etki
        Bu cihazlara yönetici erişiminin satılması, veri hırsızlığı, fidye yazılımı saldırıları ve diğer kötü niyetli faaliyetler gibi ciddi sonuçlara yol açabilir.

        Bu ihlalden etkilenen kuruluşlar, bu ihlal doğru bir şekilde yönetilmezse sadece operasyonel ve finansal verilerini kaybetmekle kalmayacak, aynı zamanda ciddi bir itibar kaybıyla karşı karşıya kalabilirler.

        Fortinet henüz bu belirli olaya resmi bir yanıt vermedi. Ancak, şirket ürünlerindeki güvenlik açıklarını hızlı bir şekilde yamalar ve güncellemeler aracılığıyla çözmeye çalışmaktadır.

        Fortinet SSL-VPN cihazlarını kullanan kullanıcılar, şirketten gelen güncellemelere dikkat etmeleri ve güvenlik yamalarını hemen uygulamaları konusunda uyarılıyor.

        Güvenlik Önerileri
        Siber güvenlik uzmanları, Fortinet SSL-VPN cihazlarını kullanan kuruluşlar için şu adımları önermektedir:
        • Hemen Denetim Yapın: Tüm Fortinet SSL-VPN cihazları için derhal bir güvenlik denetimi yapın.
        • Yamaları Uygulayın: Tüm cihazların Fortinet'in en son yazılımını ve güvenlik yamalarını çalıştığından emin olun.
        • Gelişmiş İzleme: Şüpheli faaliyetleri hızlı bir şekilde tespit etmek ve yanıtlamak için ağ trafiğini ve alışılmadık erişim desenlerini geliştirilmiş şekilde izleyin.
        • Personel Farkındalığı: Çalışanları olası riskler konusunda eğitin ve onları phishing girişimleri ve diğer sosyal mühendislik taktikleri konusunda dikkatli olmaları konusunda teşvik edin.
        3.000 ayrı Fortinet SSL-VPN cihazına yönetici erişiminin satılması, dijital dünyadaki sürekli tehditlerin bir hatırlatıcısıdır.

        Kuruluşlar, ağlarını hemen güvence altına almalı ve bu tür zafiyetlere karşı verilerini korumalıdır.
         

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Putty Zafiyeti

        PuTTY Güvenli Kabuk (SSH) ve Telnet istemcisinin bakımını üstlenen ekip, 0.68'den 0.80'e kadar olan sürümleri etkileyen ve NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tam kurtarımını sağlayabilecek kritik bir açıklığa dikkat çekiyor. Zafiyet CVE-2024-31497 kodu ile takip edilebilir.

        PuTTY ekibi "açığın etkisi özel anahtarı tehlikeye atmaktır" dedi.

        İki düzineden biraz daha fazla imzaya ve genel anahtara sahip bir saldırgan, özel anahtarı kurtarmak ve ardından sizin gibi imzalar üretmek için yeterli bilgiye sahip olur, böylece sizin için anahtar kullandığınız herhangi bir sunucuya giriş yapabilirler. Ancak imzaları elde etmek için bir saldırganın anahtarın kimlik doğrulaması için kullanıldığı sunucuyu ele geçirmesi gerekecektir.

        PuTTY'yi etkilediği gibi, diğer ürünleri de etkiler -
        • FileZilla (3.24.1 - 3.66.5)
        • WinSCP (5.9.5 - 6.3.2)
        • TortoiseGit (2.4.0.2 - 2.15.0)
        • TortoiseSVN (1.10.0 - 1.14.6)

        Sorumlu açıklamanın ardından, sorun PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ve TortoiseGit 2.15.0.1'de çözüldü. TortoiseSVN kullanıcıları, bir yama kullanılabilir hale gelene kadar SSH aracılığıyla bir SVN deposuna erişirken en son PuTTY 0.81 sürümündeki Plink'i kullanmaları önerilir.

        Özellikle, bu eski yaklaşım, PuTTY geliştiricileri tarafından belirtildiği gibi, yüksek kaliteli rasgelelik kaynağına ihtiyaç duymadan nonce'u türetme yöntemine sahip olmasına rağmen, P-521 kullanıldığında eğik nonce'lara duyarlı olan deterministik bir yaklaşım kullanarak elde edildi.

        Bu eski yaklaşım, Microsoft Windows'un kriptografik rasgele sayı üreteci için yerleşik desteğe sahip olmadığı bir dönemde geliştirildi.

        Zafiyetli bileşenlerle kullanılan ECDSA NIST-P521 anahtarları tehlikeye atfedilmeli ve dolayısıyla bunlar ~/.ssh/authorized_keys dosyalarından ve diğer SSH sunucularındaki karşılıklarından kaldırılarak iptal edilmelidir.

        İvanti MDM Kritik Zafiyet

        İvanti, Avalanche mobil cihaz yönetimi (MDM) çözümünde 27 güvenlik açığını düzeltmek için güvenlik güncelleştirmeleri yayınladı, bunlardan ikisi uzaktan komut yürütme için kullanılabilen kritik heap taşmaları. Avalanche, kurumsal yöneticilerin 100.000'den fazla mobil cihazı tek bir merkezi konumdan uzaktan yönetmelerini, yazılım dağıtmalarını ve güncellemeleri planlamalarını sağlayan bir çözümdür.

        İvanti, iki kritik güvenlik açığının (CVE-2024-24996 ve CVE-2024-29204) Avalanche'in WLInfoRailService ve WLAvalancheService bileşenlerinde bulunduğunu açıkladı.

        İkisi de bellek tabanlı tampon taşma zayıflıklarından kaynaklanmaktadır ve kimlik doğrulaması yapılmamış uzaktan saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla savunmasız sistemlerde keyfi komutlar yürütmesine izin verebilir. Ivanti, uzaktan saldırganların hizmet reddi saldırıları tetikleyebileceği, SYSTEM olarak keyfi komutlar yürütebileceği, bellekten hassas bilgileri okuyabileceği ve uzaktan kod yürütme saldırıları başlatabileceği 25 orta ve yüksek ciddiyetli hataları düzeltti.

        "Güvenlik açıklarını ele almak için aşağıda listelenen Avalanche sürümüne yükseltmek ve en son Avalanche 6.4.3 sürümüne güncellemek çok önemlidir."

        İvanti, geçen Aralık ayında Avalanche MDM çözümünde 13 kritik düzeyde uzaktan kod yürütme açığını yamaladıktan sonra, Ağustos ayında topluca izlenen iki başka Avalanche tampon taşması olan CVE-2023-32560'ı düzeltmişti.

        Hackerlar, bir yıl önce Norveçli birçok hükümet kuruluşunun ağlarını ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) olarak da bilinen MobileIron Core'un iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandılar. Aylar sonra, saldırganlar üçüncü bir MobileIron Core sıfır günü (CVE-2023-35081) ile CVE-2023-35078'i birleştirdiler ve aynı zamanda bir düzine Norveçli bakanlığın IT sistemlerine de sızdılar.

        "Cep cihazı yönetimi (MDM) sistemleri, binlerce mobil cihaza yükseltilmiş erişim sağladıkları için tehdit aktörleri için çekici hedeflerdir ve APT aktörleri önceki bir MobileIron açığından yararlanmıştır," (CISA'nın eski bir uyarısı.)

        Cisco Duo SMS ve VoIP Sızıntısı

        Cisco Duo Güvenlik Ekibi, telekomünikasyon sağlayıcılarında gerçekleşen bir siber saldırıda bazı müşterilerin VoIP ve SMS günlüklerinin çalındığını bildiriyor. Cisco Duo, şirket içi ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü kimlik doğrulama ve Tek Oturum Açma (SSO) hizmetidir. Duo'nun ana sayfasına göre, hizmet 100.000 müşteriye hizmet veriyor ve aylık olarak bir milyardan fazla kimlik doğrulaması yapıyor; Google Play'de ise 10.000.000'den fazla indirme rakamına ulaşmış durumda.

        Müşterilere gönderilen e-postalarda Cisco Duo, 1 Nisan 2024 tarihinde yaşanan bir telekomünikasyon sağlayıcısı üzerindeki siber saldırı hakkında bilgi veriyor. Bildirimde, bir tehdit aktörünün bir avlanma saldırısıyla çalışan kimlik bilgilerini elde ettiği ve ardından bu kimlik bilgilerini kullanarak telekomünikasyon sağlayıcısının sistemlerine erişim sağladığı belirtiliyor.

        Saldırgan daha sonra 1 Mart 2024 ile 31 Mart 2024 tarihleri arasındaki belirli Duo hesaplarıyla ilişkilendirilen SMS ve VoIP MFA mesaj günlüklerini indirmiş.

        Sağlayıcı, tehdit aktörünün mesajların içeriğine erişim sağlamadığını veya erişimlerini müşterilere mesaj göndermek için kullanmadığını doğruladı. Ancak, çalınan mesaj günlükleri, kurumsal kimlik bilgilerine erişmek için hedefe yönelik avlanma saldırılarında kullanılabilecek veriler içeriyor.

        Bu günlüklerde bulunan veriler şunları içerir:
        • Telefon numarası
        • Taşıyıcı
        • Konum verisi
        • Tarih
        • Saat
        • Mesaj türü
        Etkilenen tedarikçi saldırıyı keşfettiğinde, etkilenen kimlik bilgilerini geçersiz kıldı, etkinlik günlüklerini analiz etti ve Cisco'yu bilgilendirdi. Benzer olayların gelecekte yaşanmasını önlemek için ek güvenlik önlemleri de alındı.

        Cisco, bu ihlalden etkilenen müşterileri, çalınan bilgileri kullanarak potansiyel SMS avlanma veya sosyal mühendislik saldırılarına karşı dikkatli olmaları konusunda uyarıyor.

        FBI geçen yıl, tehdit aktörlerinin kurumsal ağlara sızmak için SMS avlanma ve sesli aramaları kullanma konusunda giderek artan bir eğilim gösterdiğini uyardı.

        2022 yılında, bir tehdit aktörü bir Uber çalışanında çok faktörlü kimlik doğrulama yorgunluğu saldırısı gerçekleştirdikten sonra onlara WhatsApp üzerinden telefon numarasıyla iletişime geçerek, IT yardım masası personeli gibi davranarak, sonunda hedefin hacklere hesaba giriş yapmalarına ve Uber'in sistemlerine erişmelerine izin verdi.

        Cisco, bu olaydan etkilenen tedarikçinin adını ve bu olaydan etkilenen net müşteri sayısını açıklamadı. Cisco, Duo'nun müşterilerinin yaklaşık %1'ini etkilediğini bildirdi. Şirketin 100.000 kullanıcısı olduğu iddia edildiğine göre, bu olay yaklaşık olarak 1.000 kişiyi etkiledi.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar