Ivanti zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Ivanti zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

10 Temmuz 2025

Siber Güvenlik Bülteni - Haziran 2025

 

Bültenimizin Haziran Ayı konu başlıkları; 
    • Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)
    • Mirai Botnet Tekrar Sahnede
    • Tedarik Zinciri Zararlı Yazılım
    • Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri
    • HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları 

    Tarihin En Büyük Veri İfşası : 16 Milyar Kullanıcı Bilgisi (Kullanıcı Hesapları)

    Geçtiğimiz günlerde "tarihin en büyük veri ifşalarından biri" olduğu iddia edilen bir haber yayıldı, bu durum geniş medya kapsamı, uyarılar ve korku yayma ile birlikte geldi. Ancak, bunun sadece daha önce sızdırılmış, bilgi hırsızları tarafından çalınan, veri hırsızlığında ortaya çıkan ve kullanıcı bilgisi doldurma (credential stuffing) saldırılarıyla ele geçirilen kullanıcı bilgilerinin bir derlemesi olduğu anlaşılıyor.

    Açık olmak gerekirse, bu yeni bir veri hırsızlığı ile ilgili web siteleri bu kullanıcı bilgilerini çalmak için yakın zamanda saldırıya uğramadı.

    Bunun yerine, bu çalınan kullanıcı bilgileri muhtemelen bir süredir, hatta yıllardır dolaşımdaydı. Daha sonra bir siber güvenlik firması, araştırmacılar veya saldırganlar tarafından toplandı ve internette açıkta kalan bir veritabanında yeniden paketlendi.

    Kısaca açıkta kalan derlenmiş kullanıcı bilgileri veri kümelerini keşfeden uzmanlar, bunların genellikle bilgi hırsızı zararlı yazılımı ile ilişkilendirilen bir biçimde depolandığını belirtti, ancak örnek paylaşmadılar.

    Bilgi hırsızı (infostealer), enfekte olmuş bir cihazdan kullanıcı bilgilerinikripto para cüzdanlarını ve diğer verileri çalmaya çalışan bir zararlı yazılım türüdür. Yıllar içinde, bilgi hırsızları büyük bir sorun haline gelmiş ve dünya çapında ifşalara yol açmıştır.

    Bu tür zararlı yazılımlar hem Windows hem de Mac'leri etkiler ve çalıştığında, bir cihazda depolanan bulabildiği tüm kullanıcı bilgilerini toplar ve bunları "günlük" adı verilen bir dosyada saklar.

    Bir bilgi hırsızı günlüğü genellikle çok sayıda metin dosyası ve diğer çalınan verileri içeren bir arşivdir. Metin dosyaları, tarayıcılardan, dosyalardan ve diğer uygulamalardan çalınan kullanıcı bilgilerinin listelerini içerir.

    Bir kişi bir bilgi hırsızı ile enfekte olursa ve tarayıcısında binlerce kullanıcı bilgisi kayıtlıysa, bilgi hırsızı bunların hepsini çalar ve günlüğe kaydeder. Bu günlükler daha sonra saldırgana yüklenir, burada kullanıcı bilgileri daha fazla saldırı için kullanılabilir veya siber suç pazarlarında satılabilir. Bilgi hırsızı sorunu o kadar kötü ve yaygın hale geldi ki, ele geçirilmiş kullanıcı bilgilerisaldırganların ağlara sızmasının en yaygın yollarından biri haline geldi.

    Bu sorun ayrıca dünya genelindeki emniyet güçlerini son dönemdeki "Operation Secure" ve LummaStealer'ın çökertilmesi gibi eylemlerde bu siber suç operasyonlarına aktif olarak baskı yapmaya yöneltmiştir. Bilgi hırsızları o kadar bol ve yaygın olarak kullanılıyor ki, saldırganlar siber suç topluluğu arasında itibar kazanmak veya ücretli tekliflerin tanıtımı olarak Telegram, Pastebin ve Discord'da ücretsiz olarak devasa derlemeler yayınlıyor.

    Binlerce, hatta yüz binlerce benzer sızdırılmış arşiv çevrimiçi olarak paylaşılıyor ve bu da milyarlarca kullanıcı bilgisi kaydının ücretsiz olarak yayınlanmasına neden oluyor. Geçmişte benzer kullanıcı bilgisi koleksiyonları yayınlanmıştı; örneğin 9 milyardan fazla kayıt içeren RockYou2024 sızıntısı ve 22 milyondan fazla benzersiz parola içeren "Collection #1". Söylentilere rağmen, bu derlemenin yeni veya daha önce görülmemiş veriler içerdiğine dair hiçbir kanıt yok.

    Ne yapmalısınız?

    En önemli adım, zaten takip ediyor olmanız gereken iyi siber güvenlik alışkanlıklarını benimsemek ve sürdürmektir.

    Bu nedenle, Microsoft Authenticator veya Google Authenticator gibi bir kimlik doğrulama uygulamasıyla birlikte iki faktörlü kimlik doğrulamayı (2FA) kullanmanız çok önemlidir, bu uygulamalar 2FA kodlarınızı yönetmenizi sağlar. Bitwarden ve LastPass gibi bazı parola yöneticileri de kimlik doğrulama işlevi içerir ve her ikisi için de tek bir uygulama kullanmanıza olanak tanır. 2FA etkinleştirildiğinde, bir sitedeki bir parola ele geçirilse bile, saldırganlar 2FA kodunuz olmadan hesaba erişemezler.

    Genel bir kural olarak, 2FA kodlarını SMS metinleri aracılığıyla almaktan kaçınmalısınız, çünkü saldırganlar telefon numaranızı ele geçirmek ve bunları elde etmek için SIM değiştirme saldırıları gerçekleştirebilirler. Bu sızıntıya gelince, bu kadar çok kullanıcı bilgisi sızdırıldığı için, bu makalenin okuyucularından birinin derlemede yer alma ihtimali vardır. Ancak, paniğe kapılmayın ve bu konuda strese girmeyin, tüm parolalarınızı değiştirmek için koşuşturmayın. Bunun yerine, bu fırsatı siber güvenlik alışkanlıklarınızı iyileştirmek için kullanın. Ve eğer birden fazla sitede aynı parolayı kullanıyorsanız, şimdi benzersiz olanlara geçme zamanıdır. Bu şekilde, bu tür sızıntılar sizin için çok daha az tehlikeli hale gelir.

    Bunun yanı sıra doğru parola belirlemekte önemli bir konudur, bu konu ile alakalı blog yazımıza buradan ulaşabilirsiniz. 

    Mirai Botnet Tekrar Sahnede

    Yeni Mirai botnet varyantı, TBK DVR-4104 ve DVR-4216 dijital video kayıt cihazlarındaki bir komut enjeksiyonu güvenlik açığını kullanarak bu cihazları ele geçiriyor.

    CVE-2024-3721 olarak bilinen bu açık, güvenlik araştırmacısı "netsecfish" tarafından Nisan 2024'te açıklanan bir komut enjeksiyonu zafiyetidir. Araştırmacının o dönemde yayımladığı PoC, güvenlik açığı bulunan bir uç noktaya özel olarak hazırlanmış bir POST isteği şeklinde olup, belirli parametrelerin (mdb ve mdc) manipülasyonu yoluyla kabuk komut yürütmesini sağlıyordu.

    Kaspersky şimdi, netsecfish'in PoC'sini kullanan yeni bir Mirai botnet varyantı tarafından Linux honeypot'larında CVE-2024-3721'in aktif olarak istismar edildiğini bildirdi. Saldırganlar, cihazı botnet sürüsüne dahil etmek için komut ve kontrol (C2) sunucusuyla iletişim kuran bir ARM32 kötü amaçlı yazılım binary dosyasını bırakmak için istismardan yararlanıyor. Buradan itibaren, cihazın muhtemelen dağıtılmış hizmet reddi (DDoS) saldırıları yapmak, kötü amaçlı trafiği ve diğer davranışları proxy'lemek için kullanıldığı düşünülüyor.

    Saldırının Etkisi ve Yamalar

    Netsecfish geçen yıl yaklaşık 114.000 internete açık DVR'ın CVE-2024-3721'e karşı savunmasız olduğunu bildirmiştir.

    Rus siber güvenlik firmasının en son Mirai varyantıyla ilişkili gördüğü enfeksiyonların çoğu Çin, Hindistan, Mısır, Ukrayna, Rusya, Türkiye ve Brezilya'yı etkiliyor. 

    TBK Vision'ın CVE-2024-3721 açığını gidermek için güvenlik güncellemeleri yayımlayıp yayımlamadığı veya hala yamalanmamış olup olmadığı belirsizdir.

    DVR-4104 ve DVR-4216'nın Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login ve MDVR markaları altında kapsamlı bir şekilde yeniden markalandığını belirtmekte fayda var, bu nedenle etkilenen cihazlar için yamaların bulunabilirliğini karmaşık hale getirmektedir.

    TBK Vision açığını açıklayan araştırmacı, geçen yıl kullanım ömrü sonu cihazlara yönelik istismarı körükleyen başka açıklar da keşfetti.

    Özellikle, netsecfish 2024 yılında on binlerce EoL D-Link cihazını etkileyen bir arka kapı hesap sorunu ve bir komut enjeksiyonu güvenlik açığını açıkladı.

    Her iki durumda da aktif istismarPoC'nin açıklanmasından sadece birkaç gün sonra tespit edildi. Bu, zararlı yazılım yazarlarının genel kullanıma açık istismarları kendi saldırılarına ne kadar hızlı dahil ettiklerini göstermektedir.

    Tedarik Zinciri Zararlı Yazılım

    Siber güvenlik araştırmacılarıGlueStack ile ilişkili bir düzineden fazla paketi hedef alan ve zararlı yazılım dağıtan bir tedarik zinciri saldırısını tespit etti.

    "lib/commonjs/index.js" dosyasındaki bir değişiklikle tanıtılan zararlı yazılım, bir saldırganın kabuk komutları çalıştırmasınaekran görüntüleri almasına ve enfekte makinelerine dosya yüklemesine olanak tanıyor. Araştırmacılar bu paketlerin haftalık yaklaşık 1 milyon indirmeye sahip olduğunu belirtti.

    Yetkisiz erişim daha sonra kripto para madenciliğihassas bilgi çalma ve hatta hizmetleri kapatma gibi çeşitli takip eylemlerini gerçekleştirmek için kullanılabilir. Araştırmacılar, ilk paket uzlaşmasının 6 Haziran 2025, GMT 21:33'te tespit edildiğini söyledi.

    Etkilenen paketlerin ve sürümlerin listesi aşağıdadır:

    • @gluestack-ui/utils sürüm 0.1.16
    • @gluestack-ui/utils sürüm 0.1.17
    • @react-native-aria/button sürüm 0.2.11
    • @react-native-aria/checkbox sürüm 0.2.11
    • @react-native-aria/combobox sürüm 0.2.8
    • @react-native-aria/disclosure sürüm 0.2.9
    • @react-native-aria/focus sürüm 0.2.10
    • @react-native-aria/interactions sürüm 0.2.17
    • @react-native-aria/listbox sürüm 0.2.10
    • @react-native-aria/menu sürüm 0.2.16
    • @react-native-aria/overlay sürüm 0.3.16
    • @react-native-aria/radio sürüm 0.2.14
    • @react-native-aria/slider sürüm 0.2.13
    • @react-native-aria/switch sürüm 0.2.5
    • @react-native-aria/tabs sürüm 0.2.14
    • @react-native-aria/toggle sürüm 0.2.12
    • @react-native-aria/utils sürüm 0.2.13

    Ayrıca, paketlere enjekte edilen zararlı kod, geçen ay başka bir npm paketi olan "rand-user-agent"ın tehlikeye atılmasının ardından dağıtılan uzaktan erişim Truva atına benzer. Bu da aynı saldırganların bu aktivitenin arkasında olabileceğini gösteriyor.

    Truva atı, sistem bilgilerini ("ss_info") ve ana bilgisayarın genel IP adresini ("ss_ip") toplamak için iki yeni komutu destekleyen güncellenmiş bir sürümdür.

    Proje yöneticileri o zamandan beri erişim jetonunu iptal etti ve etkilenen sürümleri kullanımdan kaldırılmış olarak işaretledi. Zararlı sürümleri indirmiş olabilecek kullanıcıların, olası tehditleri azaltmak için güvenli bir sürüme geri dönmeleri önerilir.

    Şirket yaptığı açıklamada, "Potansiyel etki muazzam boyutta ve zararlı yazılımın kalıcılık mekanizması özellikle endişe verici – saldırganlar, yöneticiler paketleri güncelledikten sonra bile enfekte makinelerde erişimi sürdürüyorlar" dedi.

    Ancak, 9 Haziran 2025'te yayınlanan bir olay raporunda, proje yöneticileri, katkıda bulunanlarından biriyle ilişkili bir genel erişim jetonunun tehlikeye atıldığını ve böylece saldırganların react-native-aria paketlerinin yanı sıra bir @gluestack-ui/utils paketinin npm'ye yayınlamasına izin verdiğini kabul etti.

    Yöneticiler ayrıca, gerekli olmayan tüm katkıda bulunanlar için GitHub depo erişimini iptal ettiklerini ve yayınlama ile GitHub erişimi için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiklerini söyledi.

    Npm'de Yıkıcı Özelliklere Sahip Kötü Amaçlı Paketler 

    Bu gelişme, Socket'in, meşru yardımcı programlar gibi görünen ancak tüm uygulama dizinlerini silebilen silecekler (wiper) yükleyen iki hileli npm paketi – express-api-sync ve system-health-sync-api – keşfetmesiyle ortaya çıktı.

    "botsailer" hesabı (e-posta: anupm019@gmail[.]com) tarafından yayınlanan paketler, kaldırılmadan önce sırasıyla 112 ve 861 kez indirildi.

    İki paketten ilki olan express-api-sync, iki veritabanı arasında verileri senkronize etmek için bir Express API olduğunu iddia ediyor. Ancak, şüphelenmeyen bir geliştirici tarafından uygulamalarına kurulduktan ve eklendikten sonra, önceden kodlanmış bir anahtar "DEFAULT_123" içeren bir HTTP isteği aldığında zararlı kodun yürütülmesini tetikliyor.

    Anahtarı aldığında, kaynak kodu, yapılandırma dosyaları, varlıklar ve yerel veritabanları dahil olmak üzere mevcut dizinden ve altındaki tüm dosyaları özyinelemeli olarak silmek için Unix komutu "rm -rf *"yi yürütür.

    Diğer paket çok daha karmaşıktır; hem bir bilgi hırsızı hem de bir silici olarak işlev görürken, işletim sisteminin Windows ("rd /s /q .") veya Linux ("rm -rf *") olmasına bağlı olarak silme komutlarını da değiştiriyor.

    npm paketinin dikkate değer bir yönü, gizli bir iletişim kanalı olarak e-postayı kullanması, saldırgan tarafından kontrol edilen posta kutusuna önceden kodlanmış SMTP kimlik bilgileri aracılığıyla bağlanmasıdır. Parola Base64 kodlamasıyla gizlenirken, kullanıcı adı Hindistan merkezli bir emlak ajansıyla ilişkili bir alan adını taşıyan bir e-posta adresini işaret ediyor ("auth@corehomes[.]in").

    Veri sızdırma için SMTP kullanımı sinsidir, çünkü çoğu güvenlik duvarı giden e-posta trafiğini engellemez ve zararlı trafiğin meşru uygulama e-postalarıyla karışmasına olanak tanır.

    Ayrıca, paket "//system/health" ve "//sys/maintenance" uç noktalarını kaydederken, platforma özgü yıkım komutlarını serbest bırakır; ikincisi, ana arka kapı tespit edilirse ve engellenirse bir yedekleme mekanizması olarak işlev görür.

    İki yeni npm paketinin keşfisaldırganların bilgi ve kripto para hırsızlığı için sahte kütüphaneleri kullanmanın ötesine geçerek sistem sabotajına odaklanmaya başladığını gösteriyor – bu, finansal bir fayda sunmadığı için sıra dışı bir gelişmedir.

    PyPI Paketi, Instagram Büyüme Aracı Olarak Kullanıcı Bilgilerini Topluyor

    Bu aynı zamanda, yazılım tedarik zinciri güvenlik firmasınınPyPI (Python Paket Dizini) deposunda Instagram büyüme aracı olduğunu iddia eden yeni bir Python tabanlı kullanıcı bilgisi toplayıcısı imad213'ü keşfetmesiyle ortaya çıktı.

    Araştırmacı, "Zararlı yazılım, gerçek doğasını gizlemek için Base64 kodlaması kullanıyor ve Netlify'de barındırılan bir kontrol dosyası aracılığıyla uzaktan kapatma anahtarı uyguluyor," dedi. "Çalıştırıldığında, kullanıcılardan Instagram kullanıcı bilgilerini istiyor ve takipçi sayılarını artırıyormuş gibi yaparak bunları on farklı üçüncü taraf bot hizmetine yayınlıyor."

    Python kütüphanesi, 21 Mart 2025'te kayda katılan ve Facebook, Gmail, Twitter ve VK kullanıcı bilgilerini toplayabilen (taya, a-b27) veya Apache Bench'i kullanarak dağıtılmış hizmet reddi (DDoS) saldırılarıyla yayın platformlarını ve API'leri hedefleyen (poppo213) üç başka paket yükleyen im_ad__213 (diğer adıyla IMAD-213) adlı bir kullanıcı tarafından yüklendi.

    Hala PyPI'dan indirilebilir olan paketlerin listesi aşağıdadır:

    ·         imad213

    ·         taya

    ·         a-b27 )

    ·         poppo213

    IMAD-213 tarafından "imad213"ün PyPI'ye yüklenmesinden yaklaşık iki gün önce yayınlanan bir GitHub README.md belgesinde, saldırgan, kütüphanenin esas olarak "eğitimsel ve araştırma amaçlı" olduğunu iddia ediyor ve herhangi bir kötüye kullanımdan sorumlu olmadıklarını belirtiyor.

    GitHub açıklaması ayrıca, kullanıcıları ana hesaplarında herhangi bir sorun yaşamamak için sahte veya geçici bir Instagram hesabı kullanmaya teşvik eden "aldatıcı bir güvenlik ipucu" içeriyor.

    Başlatıldığında, zararlı yazılım harici bir sunucuya bağlanır ve bir metin dosyasını ("pass.txt") okur ve yalnızca dosya içeriği "imad213" dizesiyle eşleşirse yürütmeye devam eder. Kapatma anahtarı birden fazla amaca hizmet edebilir; saldırganın kütüphaneyi kimlerin çalıştırma erişimi olduğunu belirlemesine veya kontrol dosyasının bağlamını basitçe değiştirerek indirilen her kopyayı kapatmasına olanak tanır.

    Bir sonraki adımda, kütüphane kullanıcıdan Instagram kullanıcı bilgilerini girmesini ister, bunlar daha sonra "credentials.txt" adlı bir dosyaya yerel olarak kaydedilir ve on farklı şüpheli bot hizmeti web sitesine yayınlanır; bunlardan bazıları muhtemelen aynı kuruluş tarafından işletilen Türk Instagram büyüme araçları ağına bağlanır. Alan adları Haziran 2021'de kaydedilmiştir.

    Fortinet, Ivanti Yüksek Dereceli Güvenlik Zafiyetleri

    Fortinet ve Ivanti Salı günü, ürün portföylerinde birden fazla yüksek ciddiyetli güvenlik açığı da dahil olmak üzere bir düzineden fazla zafiyet için düzeltmeler yayınladığını duyurdu.

    Ivantikimlik bilgisi sızıntılarına yol açabilecek üç yüksek ciddiyetli zafiyeti gidermek için bir Workspace Control (IWC) güncellemesi yayınladı.

    CVE-2025-5353CVE-2025-22463 ve CVE-2025-22455 olarak izlenen bu sorunlar, IWC'nin 10.19.0.0 ve önceki sürümlerindeki sabit kodlanmış anahtarlardan kaynaklanmakta olup, bu durum kimliği doğrulanmış saldırganların depolanan SQL kimlik bilgilerini ve ortam parolalarını çözmesine olanak tanıyabilir.

    Üretici, "Bu güvenlik açıkları kamuya açıklanmadan önce herhangi bir müşterinin istismar edildiğine dair bir bilgimiz yok.” diye belirtiyor.

    Fortinet Salı günü, bir yüksek ve 13 orta ciddiyetli güvenlik kusurunu gidermek için 14 yama yayınladı.

    CVE-2025-31104 olarak izlenen yüksek ciddiyetli sorunFortiADC'deki bir işletim sistemi komut enjeksiyonu hatası olarak tanımlanmakta olup, kimliği doğrulanmış bir saldırganın özel hazırlanmış HTTP istekleri kullanarak rastgele kod yürütmesine olanak tanıyabilir.

    Üretici, FortiOS, FortiClientEMS, FortiClient for Windows, FortiPAM, FortiSRA, FortiSASE, FortiPortal, FortiProxy ve FortiWeb'deki orta ciddiyetli kusurları düzeltti.

    Saldırganlar bu sorunları SSRF saldırıları gerçekleştirmek, yetkisiz oturumları enjekte etmekVPN bağlantılarını yeniden yönlendirmekyetkisiz kaynaklara erişmekSSL-VPN ayarlarına erişmekcihaz bilgilerini görüntülemekSSL-VPN portalına giriş yapmakayrıcalıkları yükseltmek, sisteme SSH anahtar dosyaları eklemek, hedef alınan bir kullanıcı adına işlem yapmak  ve FortiClient üzerinden iptal edilmiş sertifikalarla bağlanmak için istismar edebilirler.

    Fortinet, bu güvenlik açıklarından herhangi birinin sahada istismar edildiğine dair bir bilgi vermemektedir.



    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    HPE StoreOnce Sistemlerinde Kritik Güvenlik Açıkları

    Hewlett Packard Enterprise (HPE), StoreOnce veri yedekleme ve tekilleştirme çözümündeki kimlik doğrulama atlatma ve uzaktan kod yürütme ile sonuçlanabilecek sekiz kadar güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

    HPE bir danışmanlık belgesinde, "Bu güvenlik açıklarıuzaktan kod yürütmeyebilgi ifşasınasunucu tarafı istek sahteciliğinekimlik doğrulama atlatmayarastgele dosya silmeye ve dizin geçişi güvenlik açıklarına izin vermek üzere uzaktan istismar edilebilir." dedi.

    Bu zafiyet, 4.3.11 öncesi tüm yazılım sürümlerini etkileyen bir kimlik doğrulama atlatma zafiyeti olarak tanımlanmıştır. CVE-2025-37093 olarak izlenen kritik bir güvenlik zafiyetidirGüvenlik açığı, diğerleriyle birlikte, üreticiye 31 Ekim 2024'te bildirilmiştir.

    Araştırmacılara göre, zafiyet machineAccountCheck (bir kimlik doğrulama algoritmasının yanlış uygulanmasından) yönteminin uygulanmasından kaynaklanmaktadır.  "Bir saldırgan, bu güvenlik açığından yararlanarak sistemdeki kimlik doğrulamayı atlayabilir."
    CVE-2025-37093'ün başarılı bir şekilde istismar edilmesi, uzaktan bir saldırganın etkilenen kurulumlarda kimlik doğrulamayı atlamasına izin verebilirGüvenlik açığını daha da ciddi kılan şey, kök bağlamında kod yürütme, bilgi ifşası ve rastgele dosya silme elde etmek için kalan kusurlarla zincirlenebilmesidir.

    • CVE-2025-37089 - Uzaktan Kod Yürütme
    • CVE-2025-37090 - Sunucu Tarafı İstek Sahteciliği
    • CVE-2025-37091 - Uzaktan Kod Yürütme
    • CVE-2025-37092 - Uzaktan Kod Yürütme
    • CVE-2025-37093 - Kimlik Doğrulama Atlatma
    • CVE-2025-37094 - Dizin Geçişi Rastgele Dosya Silme
    • CVE-2025-37095 - Dizin Geçişi Bilgi İfşası
    • CVE-2025-37096 - Uzaktan Kod Yürütme


    Bu açıklama, HPE'nin daha önce açıklanan Apache Tomcat ve Apache HTTP Sunucusu zayıflıklarını gidermek için HPE Telco Hizmet Orkestratörü (CVE-2025-31651, CVSS puanı: 9.8) ve OneView (CVE-2024-38475, CVE-2024-38476, CVSS puanları: 9.8)'daki birden fazla kritik önemdeki kusuru gidermek için yamalar göndermesiyle birlikte geldi.

    Aktif istismar raporları olmasa da, kullanıcıların en uygun koruma için en son güncellemeleri uygulamaları çok önemlidir.
     



    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.


    29 Ocak 2024

    Siber Güvenlik Bülteni - Ocak 2024

     

    Bültenimizin Ocak Ayı konu başlıkları; 

      • Ivanti Connect Secure Sıfırıncı Gün Zafiyeti
      • GoAnywhere MFT Auth Bypass
      • 2023 Yılının Popüler Siber Saldırıları
      • Tarihin En Büyük Veri Sızıntısı

      Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

      Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı.

      İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir.

      Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler.

      Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi.

      Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor.

      Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir.

      Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor.

      2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı.

      Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir).

      Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır.

      Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      GoAnywhere MFT Auth Bypass

      Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor.

      CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir.

      Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi.

      7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler.

      Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir.

      CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi.

      Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor.

      Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir.

      CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      2023 Yılının Popüler Siber Saldırıları

      Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor.

      Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar:
      • Yöntemlerini otomatikleştirmek
      • Yöntemlerini geliştirmek
      • Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır.

      Siber Saldırı Türlerinin Genel Olarak Bilinenleri:
      • Kötü Amaçlı Yazılım (Malware)
      • Kimlik Avı (Phishing)
      • Servis Dışı Bırakma (DoS)
      • Dağıtık Servis Dışı Bırakma (DDoS)
      • Orta Adam Saldırısı (MitM)
      • SQL Enjeksiyonu
      • Cross-Site Scripting (XSS)
      • Zero-Day Saldırıları
      • Gelişmiş Kalıcı Tehditler (APTs)
      • Fidye Yazılımları (Ransomware)
      • IoT (Nesnelerin İnterneti) Sömürüsü
      Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir.

      Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]
       

      Tarihin En Büyük Veri Sızıntısı

      Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor.

      Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi.

      26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir.

      Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor.

      Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır.
      Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir.

      Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler.

      Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler.

      Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      01 Eylül 2023

      Siber Güvenlik Bülteni - Ağustos 2023

       

      Bültenimizin Ağustos Ayı konu başlıkları; 
        • Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı
        • Ivanti Sentry Gateway 0. Gün Zafiyeti
        • WinRAR'da 0. Gün Zafiyeti
        • Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

        Endüstriyel Kuruluşlarda Fidye Yazılımı Saldırıları İki Katına Çıktı

        Endüstriyel kuruluşları ve altyapıyı hedef alan fidye yazılımı saldırılarının sayısı 2022'nin ikinci çeyreğinden bu yana iki katına çıktı. 2023'te ikinci çeyrekte de, ilk çeyreğe göre daha fazla saldırı gerçekleşti. 2022'de Conti fidye yazılım grubunun pasif hale gelmesiyle bir dönem azalış meydana gelse de, saldırılar hızla artmaya devam ediyor.

        Saldırıların artmasındaki en büyük payda, bazı kurban şirketlerin ödemeyi reddetmesi yatıyor, bazı şirketler ödemeyi kabul etmeyince fidye yazılımı grupları daha fazla noktaya saldırmaya başlıyor.

        2023'te saldırıların artmasında iki önemli neden gösteriliyor; birincisi, NATO ülkeleri ile Rusya arasında hakim olan siyasi gerilim, Rusya'ya bağlı fidye yazılımı gruplarını NATO ülkelerindeki kritik altyapıları hedef almaya ve bozmaya devam etmeye motive ediyor. İkincisi, fidye ödemeye istekli kurbanların sayısı azaldıkça, RaaS grupları odaklarını daha büyük kuruluşlara kaydırdı ve gelirlerini sürdürmek için yaygın fidye yazılımı dağıtım saldırılarına başvurdu. 

        Saldırgan gruplar aktif olarak Kuzey Amerika'yı hedeflerken, hemen ardından Asya bölgesi geliyor. 2023'ün en aktif fidye yazılım grupları LockBit, Alpha V, Black Basta, Bianlian, BBase, Play, Royal, Clop ve Akira diye devam ediyor.

        Üretim en çok hedeflenen sektör olarak ön plana çıkarken, onu endüstriyel kontrol sistemleri, ulaşım ve petrol-gaz takip ediyor.

        Ivanti Sentry Gateway 0. Gün Zafiyeti

        Ivanti, Sentry mobil ağ geçidini etkileyen yakın zamanda keşfedilen bir güvenlik zafiyetinin saldırılarda kullanıldığını doğruladı. CVE-2023-38035 kodu ile takip edilen ve 'kritik' olarak derecelendirilen güvenlik zafiyetinin varlığı 21 Ağustos'ta ortaya çıktı. Ivanti, zafiyetten "sınırlı sayıda müşterinin" etkilendiğinin farkında olduğunu söyledi.

        Bu güvenlik zafiyetinden yararlanılması halinde, kimliği doğrulanmamış bir aktörün yönetici portalında Ivanti Sentry'yi yapılandırmak için kullanılan bazı hassas API'lere erişmesine olanak sağlıyor. Ivanti, müşterilerin MICS'e erişimi dahili yönetim ağlarıyla sınırlamalarını ve bunu internete maruz bırakmamalarını tavsiye ediyor. 8443 numaralı portu internete açmayan müşteriler için istismar riskinin düşük olduğunu da ekledi.

        Uzmanlar, "başarılı bir istismar, kimliği doğrulanmamış bir tehdit aktörünün Ivanti Sentry sunucusuna dosya okuyup yazmasına ve 'süper kullanıcı' (sudo) kullanarak sistem yöneticisi (root) olarak işletim sistemi komutlarını yürütmesine olanak tanır" dedi. Geçtiğimiz ay Ivanti EPMM yazılımlarına ait güvenlik zafiyeti ortaya çıkmış ve aktif olarak kamuya saldırılarda kullanılmıştı.

        Bu güvenlik zafiyeti 9.18 ve önceki sürümleri etkiliyor. Ivanti, yazılımların önce desteklenen sürümlere yükseltilmesini daha sonra aktif hale getirdiği RPM kodlarının uygulanmasını önerdi.

        Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        WinRar'da 0. Gün Zafiyeti

        WinRAR, sıkıştırma ve arşivleme aracının, bir RAR dosyası açıldığında kod çalıştırılmasına izin veren bir güvenlik zafiyetinden etkilendiği tespit edildi. WinRAR, birden fazla dosyayı dağıtım veya arşivleme amacıyla sıkıştırmak ve paketlemek için kullanılabilen birçok uygulamadan biridir ve dünya çapında 500 milyondan fazla kullanıcısı ile dünyanın en popüler sıkıştırma aracı olduğu tahmin edilmektedir.

        CVE-2023-40477 kodu ile takip edilen WinRAR zafiyetinin, bir arşiv dosyasını açarken kullanıcı tarafından sağlanan verilerin tam olarak doğrulanmamasından kaynaklandığı ve bu durumun belleğe de erişime imkan sağladığı belirtilmekte. Bu zafiyet, saldırgana bir RAR dosyası oluşturup, zararlı kodu yürütmek üzere kullanmasına olanak sağlamaktadır.

        CVE-2023-38831 kodu ile takip edilen diğer WinRar sıfır gün güvenlik zafiyeti, bir arşivdeki zararsız dosyalara tıklandığında kötü amaçlı yazılım yüklemek için aktif olarak kullanıldı ve bilgisayar korsanlarının çevrimiçi kripto para birimi ticaret hesaplarını ihlal etmesine olanak tanıdı.
        Bu güvenlik zafiyeti Nisan 2023'ten beri aktif olarak kullanılıyor ve DarkMe, GuLoader ve Remcos RAT gibi çeşitli kötü amaçlı yazılım ailelerinin dağıtılmasına yardımcı oluyor. Saldırganların JPG (.jpg) resimleri, metin dosyaları (.txt) veya PDF (.pdf) belgeleri gibi görünüşte zararsız olan dosyaları görüntüleyen kötü amaçlı .RAR ve .ZIP arşivleri oluşturmasına da olanak tanımaktadır.

        WinRAR bu iki kritik zafiyeti kapatan WinRAR 6.23 yeni sürümünü yayınladı, acilen güncellemenizi öneririz.  

        Küresel Acil Durum Hizmetleri İletişim Protokolünde 0. Gün Zafiyeti

        Araştırmacılar, dünya çapında acil servisler tarafından kullanılan bir radyo iletişim protokolünün, saldırganların iletimleri gözetlemesine veya manipüle etmesine izin verebilecek bir çok kritik güvenlik açığını barındırdığını buldu.

        Karasal Hatlı Radyo (TETRA), esas olarak polis, itfaiye ve askeriye gibi acil servislerin yanı sıra bazı endüstriyel ortamlarda kullanılan bir radyo ses ve veri standardıdır. Çoklu TETRA güvenli kanalları anahtar yönetimi, ses ve veri şifreleme sunarken TETRA Şifreleme Algoritması (TEA1), verilerin kablosuz olarak gizli bir şekilde iletilmesini sağlayan gerçek şifreleme algoritmalarını uygular.

        İlk olarak 1995 yılında Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından yayınlanan TETRA, özellikle kolluk kuvvetleri için en yaygın kullanılan profesyonel mobil radyo standartlarından biridir ve ses, veri ve makineler arası iletişim için onlarca yıldır sürekli olarak kullanılmaktadır.

        TETRA'da beş güvenlik açığı bulundu; kritik olarak derecelendirilen CVE-2022-24402 ve CVE-2022-24401 kodu ile takip edilen ise iki zafiyettir. Sıfır gün güvenlik açıkları toplu olarak "TETRA:BURST" olarak bilinir.

        Altyapı ve cihaz yapılandırmalarına bağlı olarak bu güvenlik açıkları, gerçek zamanlı veya gecikmeli şifre çözme, mesaj ekleme, kullanıcı anonimleştirme veya oturum anahtarı sabitleme saldırılarına olanak tanır. Pratik olarak bu güvenlik açıkları, üst düzey saldırganların polis ve askeri iletişimleri dinlemesine, hareketlerini takip etmesine veya TETRA üzerinden taşınan kritik altyapı ağ iletişimlerini manipüle etmesine olanak tanıyor.

        Uzmanlar, herhangi bir yamanın olmadığını, üreticilerin iyileştirme için hali hazırda çalışmalara devam ettiğini ve TEA1'den başka bir TEA şifrelemesine geçilmesini öneriyor.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar