TINA Isolator etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
TINA Isolator etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Kasım 2024

Siber Güvenlik Bülteni - Ekim 2024

 

Bültenimizin Ekim Ayı konu başlıkları; 
    • Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti
    • Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı
    • Palo Alto Networks, PAN-OS Zafiyeti
    • Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 
    • 1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

    Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti.

    FortiManager Güvenlik Zafiyeti Hakkında

    FortiManager, Fortinet’in FortiGate
     güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır.

    Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı.

    CVE-2024-47575 Açığı

    Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi.

    Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı.

    Yeni Tehdit Kümesi UNC5820

    Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir.

    Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır.

    FortiJump: Devlet Destekli Casusluk İddiaları

    Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür.

    FortiManager Güvenlik Açığının Yaygınlığı

    Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor.

    İhlal Göstergeleri ve Güvenlik Önerileri

    CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor.

    Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

    CiscoNisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir.

    Güvenlik açığı hakkında:

    Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir.

    Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı:
    • Cisco Secure Firewall VPN
    • Checkpoint VPN
    • Fortinet VPN
    • SonicWall VPN
    • RD Web Services
    • Miktrotik
    • Draytek
    • Ubiquiti
    Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir.

    Güvenlik açığının tespiti ve giderilmesi:

    Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir:

    firewall# show running-config webvpn | include ^ enable

    Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir.

    Diğer Cisco Güvenlik Açıkları

    Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir.

    Özet:
    • CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3)

    Ek Bilgiler ve Önerilen Çözümler:

    CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır.

    CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir:

    no ssh stack ciscossh

    Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir.

    CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır.

    CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir:

    zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*

    Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.

    CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

    Palo Alto Networks, PAN-OS Zafiyeti

    Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi.

    Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti.

    Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS)hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır:
    • CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı
    • CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı
    • CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı
    • CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri
    • CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı

    PoC’de Açık İstismar Edildi

    Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı.

    Güncellemeler ve Alınması Gereken Önlemler

    Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor.

    Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır.

    Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.
     

    Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 

    Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor.
    Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:
     
    • MySQL
    • Fusion Middleware
    • Database
    • Enterprise Manager
    • Tedarik Zinciri Ürünleri
    • Finansal Hizmet Uygulamaları
    • İletişim Uygulamaları
    • Perakende Uygulamaları
    • Kamu Hizmetleri Uygulamaları
    • PeopleSoft
    • Siebel
    Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları

    334 güvenlik yamasından 61’ikimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:
     
    • Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    Oracle'ın amiral gemisi olan Oracle Database6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.
     
    Oracle’dan Acil Güncelleme Tavsiyesi

    Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.
     
    Güncelleme Süreci İçin İpuçları

    Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir:
    1. Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin.
    2. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın.
    3. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın.
    4. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun.
    Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

    1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.
     
    Yeni Fidye Yazılımı Gruplarındaki Artış

    Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:
     
    • LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu.
    • PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı.
    • RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi.
    BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.
     
    Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler

    Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor.

    Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.
     
    Devlet Destekli Siber Faaliyetlerin Analizi

    Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:
     
    • Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor.
    • Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda.
    • İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor.
    • Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.
     
    Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.
     

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    30 Temmuz 2024

    Siber Güvenlik Bülteni - Temmuz 2024

     

    Bültenimizin Temmuz Ayı konu başlıkları; 
      • CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu
      • APT41 Saldırılarında Türkiye’yi de Hedef Alıyor
      • SolarWinds 'de Kritik Zafiyetler
      • Juniper 'de Kritik Zafiyet
      • Cisco 'da Kritik Zafiyet

      CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu

      CrowdStrike, Windows cihazlarının Mavi Ekran (BSOD) hatası aldığını gösteren yaygın raporlar aldıktan sonra bir soruşturma başlattı. Mavi ekran hataları, yakın zamanda yapılan CrowdStrike Falcon sensör güncellemesi nedeniyle meydana geldi. Etkilenen cihazlar, çalışamaz hale getiren bir BSOD döngüsüne giriyor.

      CrowdStrike, Cuma gecesi yaptığı açıklamada, 19 Temmuz 2024 saat (UTC) 04:09'da  Windows sistemlerine gönderilen rutin bir sensör yapılandırma güncellemesinin dünya genelinde bilgisayar sistemlerinde mavi ekrana neden olan bir mantık hatasını tetiklediğini söyledi.

      Şirket, geçici çözüm olarak sistemlerin Güvenli Mod'da başlatılarak bir CrowdStrike bileşeninin silinmesini öneriyor.

      CrowdStrike CEO'su George Kurtz, sosyal medya platformu X üzerinden yaptığı açıklamada, sorunun Windows cihazları için tek bir içerik güncellemesinde bulunan bir "hata" nedeniyle meydana geldiğini söyledi. "Mac ve Linux cihazları etkilenmedi. Bu bir güvenlik olayı veya siber saldırı değil. Sorun tanımlandı, izole edildi ve bir düzeltme yayımlandı," diyerek durumu izah etmeye çabaladı.

      Hatalı CrowdStrike güncellemesi dünya genelindeki büyük havaalanları da dahil birçok kuruluş için ciddi sorunlara neden oldu ve halen sorunun yarattığı problemli sistemler de mevcut.

      American Airlines, BBC'ye yaptığı açıklamada, uçuşların kalkışına izin verilmediğini ve olayın "CrowdStrike ile ilgili bir teknik sorun" nedeniyle olduğunu söyledi.

      Halka açık CrowdStrike hisseleri, ilk günkü işlemlerde %11'den fazla düştü.

      Microsoft, yaptığı açıklamada, "bir CrowdStrike güncellemesinin dünya genelinde birçok BT sistemini çökerttiğini" söyledi. Şirket, müşterilerin iyileşmesine yardımcı olmak için aktif olarak destek veriyor.
      Azure bulut hizmetinin durum sayfasında, CrowdStrike Falcon ajanını çalıştıran bazı sanal makinelerin de etkilendiği belirtiliyor.
       
      Yaşanan Sorunlara Dair Son Veriler;
      • Son belirlemelere göre CrowdStrike güncellemesinin 8,5 milyon Windows cihazını etkilediği tahmin ediliyor.
      • CrowdStrike ile bağlantılı yakın zamanda yaşanan küresel BT kesintisi, Fortune 500 şirketlerinin %25’i etkilendi ve tahmini 5,4 milyar dolarlık doğrudan mali kaybına neden oldu.
      • En çok etkilenen  sektörler; Sağlık (1.94 milyar dolar), Bankacılık (1.15 milyar dolar), Havacılık (860 milyon dolar), Yazılım ve IT (560 milyon dolar), Perakende/Toptan(470 milyon dolar), Diğer (190 milyon dolar), Finans (140 milyon dolar), Ulaşım ve Lojistik (70 milyon dolar) ve Üretim (40 milyon dolar)

      KONUYLA İLİŞKİ SALDIRILAR DA ARTTI;

      Son dönemlerde Crowdstrike üzerinden oltalama ve sosyal mühendislik sayılarında ciddi artış bulunmaktadır ve güncelleme dosyası olarak   zararlı yazılım dağıtımı yapılmaktadır.

      Tespit Edilen Bazı Siteler;

      crowdstrike.phpartners[.]org
      crowdstrike0day[.]com
      crowdstrikebluescreen[.]com
      crowdstrike-bsod[.]com
      crowdstrikeupdate[.]com
      crowdstrikebsod[.]com
      www.crowdstrike0day[.]com
      www.fix-crowdstrike-bsod[.]com
      crowdstrikeoutage[.]info
      www.microsoftcrowdstrike[.]com
      crowdstrikeodayl[.]com
      crowdstrike[.]buzz
      www.crowdstriketoken[.]com
      www.crowdstrikefix[.]com
      fix-crowdstrike-apocalypse[.]com
      microsoftcrowdstrike[.]com
      crowdstrikedoomsday[.]com
      crowdstrikedown[.]com
      whatiscrowdstrike[.]com
      crowdstrike-helpdesk[.]com
      crowdstrikefix[.]com
      fix-crowdstrike-bsod[.]com
      crowdstrikedown[.]site
      crowdstuck[.]org
      crowdfalcon-immed-update[.]com
      crowdstriketoken[.]com
      crowdstrikeclaim[.]com
      crowdstrikeblueteam[.]com
      crowdstrikefix[.]zip
      crowdstrikereport[.]com

      APT41 Saldırıları Türkiye’yi de Hedef Alıyor

      Çinli tehdit gruplarından biri olan APT41, küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv endüstrileri de dahil olmak üzere birçok kilit sektördeki kuruluşları hedef alarak, süreklilik gösteren saldırılar ile siber casusluk kampanyası yürütüyor.

      Gelişmiş sürekli tehdit (APT) aktörü, yeni saldırı kampanyasını 2023 yılının başlarında başlatmış gibi görünüyor. O zamandan beri grup, birçok kurbanın ağlarına başarılı bir şekilde sızdı ve bu ağlara sahiplerince tespit edilemeyen uzun süreli izinsiz erişimini sürdürdü. Etkilenen kuruluşların çoğu Birleşik Krallık, İtalya, İspanya, Tayvan, Tayland ve Türkiye'de bulunuyor.

      APT41, 2012'den bu yana küresel çapta siber casusluk, tedarik zinciri saldırıları ve finansal motivasyonlu saldırılar gibi siber suçlara yönelen ve Çin merkezli olan tehdit aktörlerini kapsayan bir terimdir. Yıllar içinde güvenlik araştırmacıları, APT41 kollektifine dahil olan Wicked Panda, Winnti, Suckfly ve Barium gibi birçok alt grubu tanımladı. Bu gruplar, ABD kuruluşları ve dünya çapındaki diğer varlıklardan Çin hükümeti adına ticari sırları, fikri mülkiyetleri, sağlıkla ilgili verileri ve diğer hassas bilgileri çaldı. 2020 yılında ABD hükümeti, dünya genelinde 100'den fazla şirkete yapılan saldırılara katıldıkları veya katkıda bulundukları gerekçesiyle APT41'in beş üyesini suçladı. Ancak bu suçlamalar, grubun faaliyetlerini şimdiye kadar caydırmak için pek bir işe yaramadı.
       
      APT41'in Saldırdığı Sektörler ve Yaygın Coğrafi Etkisi

      Nakliye ve lojistik sektöründe hedeflenen kuruluşların neredeyse tamamı Orta Doğu ve Avrupa'da bulunurken, medya ve eğlence sektöründe hedeflenen tüm kuruluşlar Asya'da yer almaktadır. Nakliye ve lojistik sektöründeki birçok kurban, aynı sektördeki büyük çok uluslu şirketlerin yan kuruluşları veya bağlı kuruluşları olarak birçok kıtada operasyonlara sahiptir.

      Özel Siber Casusluk Araçları

      Araştırmacılar ayrıca APT41 aktörlerinin devam eden saldırı kampanyasında kötü amaçlı yazılım yüklemek, arka kapılar oluşturmak, ele geçirilen ağlarda yatay hareket etmek ve verileri dışarı çıkarmak için bir dizi özel araç kullandığını gözlemledi. Araçlar, AntsWord ve BlueBeam adlı iki web kabuğu içeriyor ve tehdit aktörü, bu araçları kullanarak DustPan adlı bir yükleyiciyi indiriyor ve bu yükleyici, kurban sistemlerinde Beacon sonrası uzlaşma aracını yüklemeye çalışıyor.
       
      APT41 aktörlerinin şu an etkili bir şekilde kullandığı diğer araçlar arasında Oracle Veritabanlarından veri kopyalamak için SQLULDR2 adlı kötü amaçlı yazılım ve ele geçirilen ağdan büyük miktarda veriyi analiz etmek için bir OneDrive hesabına dışarı çıkarmak üzere PineGrove adlı kötü amaçlı yazılım da yer alıyor.
       
      Araştırmacılar şu ana kadar, APT41'in mevcut saldırı kampanyasında saldırılarını herhangi bir şekilde paraya çevirmeye çalıştığına dair hiçbir kanıt bulamadı. Ancak, uzlaşma sonrası faaliyetler hakkında tam bir bilgiye sahip olmadıklarını ve bu yüzden kesin olarak söyleyemeyeceklerini de eklediler.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      SolarWinds 'de Kritik Zafiyetler

      SolarWinds, Access Rights Manager (ARM) yazılımında uzaktan kod yürütme (RCE) olanağı sağlayan altı güvenlik açığı da dahil olmak üzere sekiz kritik güvenlik açığını giderdi.

      Uzaktan kod yürütme güvenlik açıkları (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 ve CVE-2024-23470) saldırganların ayrıcalık olmadan, sistem ayrıcalıklarıyla veya ayrıcalıksız olarak hatasız sistemlerde kod veya komut yürütmesine olanak tanır.
       
      Şirket ayrıca, kimliği doğrulanmamış kullanıcıların keyfi dosya silme işlemi yapmasına ve kısıtlı dizinlerin dışındaki dosya veya klasörlere erişerek hassas bilgilere ulaşmasına izin veren üç kritik dizin geçişi hatasını (CVE-2024-23475 ve CVE-2024-23472) da yamaladı.
       
      Buna ek olarak, kimliği doğrulanmamış kötü niyetli aktörlerin Active Directory ortamında etki alanı yöneticisi erişimi kazanmasına olanak tanıyabilecek yüksek derecede bir kimlik doğrulama atlama açığını (CVE-2024-23465) da düzeltti.

      SolarWinds, bu açıkları Access Rights Manager 2024.3'te yamaladı ve bu sürümü hata ve güvenlik düzeltmeleriyle yayınlandı.

      Şirket, bu hatalar için konsept kanıtı (proof-of-concept) istismarlarının doğada bulunup bulunmadığını veya bu hatalardan herhangi birinin saldırılarda kullanılıp kullanılmadığını henüz açıklamadı.

      CVE-ID  Güvenlik Açığı Başlığı

      CVE-2024-23469  SolarWinds ARM Tehlikeli Yöntem Uzaktan Kod Yürütme
      CVE-2024-23466  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
      CVE-2024-23467  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
      CVE-2024-28074  SolarWinds ARM İçsel Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı
      CVE-2024-23471  SolarWinds ARM CreateFile Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
      CVE-2024-23470  SolarWinds ARM UserScriptHumster Tehlikeli Yöntem RCE Güvenlik Açığı
      CVE-2024-23475  SolarWinds ARM Dizin Geçişi ve Bilgi Açığa Çıkma Güvenlik Açığı
      CVE-2024-23472  SolarWinds ARM Dizin Geçişi Keyfi Dosya Silme ve Bilgi Açığa Çıkma
      CVE-2024-23465  SolarWinds ARM ChangeHumster Tehlikeli Yöntem Kimlik Doğrulama Atlama

      Şubat ayında şirket, Access Rights Manager (ARM) çözümünde üçü kritik olarak değerlendirilen ve kimliği doğrulanmamış istismara izin veren beş RCE güvenlik açığını yamaladı.

      Dört yıl önce SolarWinds'in iç sistemleri, Rus APT29 hacker grubu tarafından ihlal edildi. Tehdit grubu, Mart 2020 ile Haziran 2020 arasında müşteriler tarafından indirilen Orion BT yönetim platformu sürümlerine kötü amaçlı kod enjekte etti.

      O zamanlar dünya çapında 300.000'den fazla müşteriye hizmet veren SolarWinds, Apple, Google ve Amazon gibi yüksek profilli teknoloji şirketleri ve ABD Askeriyesi, Pentagon, Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi gibi devlet kuruluşları da dahil olmak üzere Fortune 500 şirketlerinin %96'sına hizmet veriyordu.
       
      Ancak, Rus devlet hackerları trojanlı güncellemeleri binlerce sisteme Sunburst arka kapısını dağıtmak için kullansa da, yalnızca çok daha küçük bir SolarWinds müşteri grubunu daha fazla istismar için hedef aldılar.
       
      Tedarik zinciri saldırısı ortaya çıktıktan sonra, birden fazla ABD hükümet kurumu kampanyada ağlarının ihlal edildiğini doğruladı. Bunlar arasında Dışişleri Bakanlığı, İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı, Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), Ulusal Sağlık Enstitüleri ve Ulusal Nükleer Güvenlik İdaresi yer alıyordu.
       
      Nisan 2021'de ABD hükümeti, 2020 SolarWinds saldırısını düzenlemekle Rusya Dış İstihbarat Servisi'ni (SVR) resmen suçladı ve Ekim 2023'te ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds'i saldırıdan önce yatırımcılara siber güvenlik savunma sorunlarını bildirmediği için suçladı.

      Juniper 'de Kritik Zafiyetler

      Juniper Networks, Session Smart Router (SSR)Session Smart Conductor ve WAN Assurance Router ürünlerinde kimlik doğrulama atlamasına yol açan en yüksek seviyeli güvenlik açığını gidermek için acil bir güncelleme yayınladı.
       
      Güvenlik sorunu CVE-2024-2973 olarak izleniyor, bu açık ile bir saldırgan bu açığı kullanarak cihazın tam kontrolünü ele geçirebilir.
       
      "Redundant peer ile çalışan Juniper Networks Session Smart Router veya Conductor'daki Kimlik Doğrulama Atlaması (Authentication Bypass) kullanarak Alternatif Bir Yol veya Kanal ile bir ağ tabanlı saldırganın kimlik doğrulamayı atlamasına ve cihazın tam kontrolünü ele geçirmesine olanak tanır" şeklinde açıklanıyor.
       
      Juniper güvenlik danışmanlığında, "Yalnızca yüksek kullanılabilirlikli redundant konfigürasyonlarda çalışan Router veya Conductor'lar bu güvenlik açığından etkilenmektedir" diye belirtiyor.

      Bu açıklık büyük kurumsal ortamlarda, veri merkezleri, telekomünikasyon, e-ticaret ve hükümet veya kamu hizmetleri de dahil olmak üzere, görevi açısından kritik olan ağ altyapılarında yaygın bir konfigürasyon olmasından sorunu oldukça yaygın hale getirir.
       
      CVE-2024-2973 tarafından etkilenen ürün sürümleri:
       
      Session Smart Router & Conductor:
      5.6.15'ten önceki tüm sürümler
      6.0 sürümlerinden 6.1.9-lts'den önce
      6.2 sürümlerinden 6.2.5-sts'den önce
       
      WAN Assurance Router:
      6.0 sürümlerinden 6.1.9-lts'den önce
      6.2 sürümlerinden 6.2.5-sts'den önce
      Session Smart Router için güvenlik güncellemeleri 5.6.15, 6.1.9-lts ve 6.2.5-sts sürümlerinde mevcuttur.
       
      WAN Assurance Routers, Mist Cloud'a bağlı olduğunda otomatik olarak yamalanır, ancak Yüksek Kullanılabilirlik kümelerinin yöneticilerinin SSR-6.1.9 veya SSR-6.2.5'e yükseltme yapmaları gerekmektedir.
       
      Juniper ayrıca, Conductor düğümlerini yükseltmenin bağlı yönlendiricilere otomatik olarak düzeltmeyi uygulamak için yeterli olduğunu, ancak yönlendiricilerin yine de mevcut en son sürüme yükseltilmesi gerektiğini belirtiyor.

      Bu güvenlik açığı için herhangi bir geçici çözüm mevcut değildir ve önerilen eylem, mevcut düzeltmeleri uygulamakla sınırlıdır.
       
      Juniper'e yönelik saldırılar

      Juniper ürünleri, kritik ve değerli ortamlarda sıklıkla karşılaşıldıkları için hackerlar için cazip bir hedeftir. Geçen yıl, Juniper EX anahtarları ve SRX güvenlik duvarları, dört güvenlik açığını içeren bir istismar zinciri yoluyla hedef alındı ve üretici ilgili bülteni yayınladıktan bir hafta sonra kötü niyetli faaliyetler gözlemlendi.

      Cisco 'da Kritik Zafiyetler

      Cisco NX-OS Yazılımının Komut Satırı Arayüzü (CLI) içindeki kritik bir güvenlik açığı şu anda aktif olarak istismar edilmekte olup, saldırganların etkilenen cihazlarda kök kullanıcı olarak keyfi komutlar çalıştırmasına olanak tanımaktadır.
       
      CVE-2024-20399 olarak tanımlanan bu sıfır gün açığı, özellikle Cisco’nun Nexus ve MDS serisi anahtarlarını kullanan kuruluşlar için önemli bir ağ güvenliği tehdidi oluşturmaktadır.
       
      Güvenlik açığı, belirli yapılandırma CLI komutlarına geçirilen argümanların yetersiz doğrulanmasından kaynaklanmaktadır. Yönetici kimlik bilgilerine sahip kimliği doğrulanmış, yerel bir saldırgan, etkilenen bir yapılandırma CLI komutuna argüman olarak özel hazırlanmış bir girdi sağlayarak bu açığı istismar edebilir. Başarılı istismar, saldırgana kök ayrıcalıkları kazandırarak temel işletim sistemi üzerinde keyfi komutlar çalıştırma yeteneği sağlar.
       
      Etkilenen Ürünler

      Cisco NX-OS Yazılımının savunmasız bir sürümünü çalıştırıyorsa, aşağıdaki Cisco ürünleri etkilenir:
       
      MDS 9000 Serisi Çok Katmanlı Anahtarlar
      Nexus 3000 Serisi Anahtarlar
      Nexus 5500 Platform Anahtarları
      Nexus 5600 Platform Anahtarları
      Nexus 6000 Serisi Anahtarlar
      Nexus 7000 Serisi Anahtarlar
      Nexus 9000 Serisi Anahtarlar, bağımsız NX-OS modunda

      Özellikle, Nexus 3000 ve Nexus 9000 serisinin belirli modelleri, Cisco NX-OS Yazılımı sürümleri 9.3(5) ve sonrası çalıştırıyorsa etkilenmez. Ancak N3K-C3264C-E ve N9K-C92348GC-X modelleri gibi bazı modellerin, sürüm 10.4.3 ve sonrasına güncellenmesi gerekmektedir.
       
      İstismar ve Azaltma

      Kötü amaçlı yazılım, uzaktan bağlantı, dosya yükleme ve sistem syslog mesajlarını tetiklemeden kötü amaçlı kod çalıştırma olanağı sağlar, böylece saldırıyı gizler.
       
      Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Ancak, herhangi bir geçici çözüm mevcut değildir.
       
      Yöneticilerin güncellemeleri derhal uygulamaları ve olası riskleri azaltmak için network-admin ve vdc-admin gibi yönetici kullanıcıların kimlik bilgilerini düzenli olarak izlemeleri ve değiştirmeleri tavsiye edilir.
       
      Cisco, etkileşimli yazılım güncellemelerini belirlemek ve uygun yazılım güncellemelerini bulmak için Cisco Software Checker aracını sağlamakta. Bu araç, etkilenmiş yazılım sürümlerini ve en erken düzeltme sürümlerini belirlemeye yardımcı olmakta. Yöneticiler, bu araca Cisco Software Checker sayfasından erişebilirler.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      01 Temmuz 2024

      Siber Güvenlik Bülteni - Haziran 2024

       

      Bültenimizin Haziran Ayı konu başlıkları; 
        • Fortinet, FortiOS Zafiyeti
        • VMware, Kritik vCenter RCE Zafiyeti
        • Botnet, Zyxel NAS Zafiyetini Kullanıyor
        • İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

        Fortinet, FortiOS Zafiyeti

        Fortinet, FortiOS'un komut satırı yorumlayıcısında çoklu yığın tabanlı arabellek taşması güvenlik açıklarını (CVE-2024-23110) açıkladı.

        Etkilenen Sürümler ve Çözümler

        Bu güvenlik açıkları, FortiOS'un çeşitli sürümlerini etkilemektedir.
        • FortiOS 7.4: 7.4.0 ile 7.4.2 sürümleri etkilenmiştir. Kullanıcılar 7.4.3 veya üstü sürüme yükseltmelidir.
        • FortiOS 7.2: 7.2.0 ile 7.2.6 sürümleri etkilenmiştir. Kullanıcılar 7.2.7 veya üstü sürüme yükseltmelidir.
        • FortiOS 7.0: 7.0.0 ile 7.0.13 sürümleri etkilenmiştir. Kullanıcılar 7.0.14 veya üstü sürüme yükseltmelidir.
        • FortiOS 6.4: 6.4.0 ile 6.4.14 sürümleri etkilenmiştir. Kullanıcılar 6.4.15 veya üstü sürüme yükseltmelidir.
        • FortiOS 6.2: 6.2.0 ile 6.2.15 sürümleri etkilenmiştir. Kullanıcılar 6.2.16 veya üstü sürüme yükseltmelidir.
        • FortiOS 6.0: Tüm sürümler etkilenmiştir. Kullanıcılar sabit bir sürüme geçmelidir.

        Fortinet, sabit sürümlere sorunsuz geçiş sağlamak için yükseltme yolu aracını kullanmayı önermektedir. Araca Fortinet'in Yükseltme Yolu Aracı'ndan erişilebilir.

        Bu güvenlik açıkları, FortiOS komut satırı yorumlayıcısındaki komut satırı argümanlarının hatalı işlenmesinden kaynaklanmaktadır.

        Kimliği doğrulanmış bir saldırgan, özel olarak hazırlanmış komut satırı argümanları göndererek bu güvenlik açıklarından yararlanabilir ve yetkisiz kod veya komut çalıştırabilir.

        Önleme ve Öneriler

        Fortinet, etkilenen tüm FortiOS sürümlerini kullanan kullanıcıların riskten korunmak için mümkün olan en kısa sürede önerilen sürümlere yükseltmelerini tavsiye eder.

        Kullanıcılar ayrıca, komut satırı arayüzüne erişimi güvenilir kullanıcılarla sınırlandırmak ve olağandışı etkinlikleri izlemek gibi ağ güvenliği için en iyi uygulamaları takip etmelidir.

        FortiGate cihazınıza giriş yaparak mevcut FortiOS sürümünü kontrol edin.

        Yükseltme Yolu Aracını Kullanma

        Yükseltme Yolu Aracına Erişme: Fortinet’in Yükseltme Yolu Aracı’nı ziyaret edin.
        Ürün ve Sürümleri Seçme: Mevcut FortiGate ürününüzü, mevcut FortiOS sürümünüzü ve hedef FortiOS sürümünü seçin.
        Önerilen Yolu Takip Edin: Araç, önerilen bir yükseltme yolu sağlayacaktır. Gerekirse tüm ara yazılım sürümlerini indirin.

        UYARI: Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi.

        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        VMware, Kritik vCenter RCE Zafiyeti

        VMware, vCenter Server'da uzaktan kod yürütme ve yerel ayrıcalık yükseltme kusurlarını içeren kritik güvenlik açıklarını ele alan bir güvenlik danışma belgesi yayınladı.

        Üretici CVE-2024-37079CVE-2024-37080CVE-2024-37081 olarak adlandırılan üç güvenlik açığı için düzeltmeler yayınladı ve özet olarak şunları içerir:

        CVE-2024-37079: vCenter Server'ın DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı. Ağ erişimine sahip kötü niyetli bir aktörün özel olarak hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak uzaktan kod yürütmeye yol açabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

        CVE-2024-37080: vCenter Server'ın DCERPC protokolünde başka bir yığın taşması güvenlik açığı. CVE-2024-37079'a benzer şekilde, bir saldırganın özel olarak hazırlanmış paketler göndererek yığın taşmasını istismar etmesine ve potansiyel olarak uzaktan kod yürütmeye neden olabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

        CVE-2024-37081: vCenter Server'da sudo'nun yanlış yapılandırılmasından kaynaklanan bu güvenlik açığı, kimliği doğrulanmış yerel bir kullanıcının bu kusuru kullanarak vCenter Server Appliance'da root ayrıcalıklarına yükseltilmiş yetkilerle erişim sağlamasına izin verir. (CVSS v3.1 puanı: 7.8 “yüksek”)

        Yukarıdaki kusurlar VMware vCenter Server sürümleri 7.0 ve 8.0 ile VMware Cloud Foundation sürümleri 4.x ve 5.x'i etkilemektedir.

        VMware vCenter Server 8.0 U2d, 8.0 U1e ve 7.0 U3r sürümlerinde güvenlik güncellemeleri yayınlanmıştır. Cloud Foundation için yamalar KB88287 aracılığıyla sağlanmıştır.

        Üretici, vCenter Server'ı güncellemenin çalışan iş yüklerini veya sanal makineleri etkilemeyeceğini, ancak güncelleme sırasında vSphere Client ve diğer yönetim arayüzlerinde geçici bir kullanılabilirlik kesintisi yaşanabileceğini belirtiyor..

        Üretici, bu güvenlik açıkları için ürün içinde uygulanabilir bir geçici çözüm veya azaltma yöntemi bulunmadığını, bu nedenle önerilen çözümün mümkün olan en kısa sürede güncellemelerin uygulanması olduğunu belirtiyor.

        VMware, güvenlik bülteninde henüz zafiyetlerin aktif olarak kullanıldığına dair herhangi bir tespit olmadığını belirtiyor. Ancak, vCenter kusurlarının açıklanması durumunda tehdit aktörleri tarafından hedef alınması yaygın bir durum olduğundan, yöneticilerin güncellemeleri mümkün olan en kısa sürede uygulamaları gerekmektedir.
         

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Botnet, Zyxel NAS Zafiyetini Kullanıyor

        Shadowserver Foundation, kullanımdan kaldırılmış Zyxel NAS cihazlarında yeni açıklanan kritik seviyedeki bir güvenlik açığının botnet saldırılarında zaten istismar edildiği konusunda uyarıyor.

        CVE-2024-29973 olarak izlenen bu sorun, kimlik doğrulama gerektirmeden uzaktan istismar edilebilen bir kod enjeksiyon kusuru olarak tanımlanıyor. Geçen yıl, benzer bir kod enjeksiyon hatası olan CVE-2023-27992'yi yamaladığında ortaya çıkmıştı.

        Bu güvenlik açığını keşfeden ve bildiren uzmanlar, "Bu güvenlik açığını yamalarken, eski yöntemleri kullanan yeni bir uç nokta eklediler ve bunu yaparken, önceki hataların aynısını uyguladılar" şeklinde açıklama yapıyorlar.

        Araştırmacıya göre, bir saldırgan, uzaktan kod yürütme amacıyla bu güvenlik açığını istismar etmek için savunmasız bir cihaza özel olarak hazırlanmış HTTP POST istekleri gönderebilir.

        Geçen hafta sonunda, Shadowserver Foundation, bu güvenlik açığını hedef alan ilk istismar girişimlerini Mirai benzeri bir botnet tarafından görmeye başladığını açıkladı. Bu kusuru hedef alan teknik detaylar ve kavram kanıtı (PoC) kodu halka açık olarak mevcut.

        Zyxel, Haziran ayı başlarında CVE-2024-29973 ve diğer üç hata için yamalar yayınladı, ancak etkilenen ürünler olan NAS326 ve NAS542'nin Aralık 2023'te kullanımdan kaldırıldığını belirtti.

        Şirket, "CVE-2024-29972CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik seviye olması nedeniyle, Zyxel bu ürünlerin güvenlik desteğinin sona ermesine rağmen, uzatılmış destek alan müşteriler için yamalar sunmuştur" diye uyardı.

        NAS326 cihazları için V5.21(AAZF.17)C0 firmware sürümü bu kusurları çözerken, NAS542 ürünleri için Zyxel, hataları V5.21(ABAG.14)C0 firmware sürümünde ele aldı.

        Kullanıcılara cihazlarını mümkün olan en kısa sürede güncellemeleri ve desteklenen ürünlerle değiştirmeyi düşünmeleri tavsiye edilir. Botnet operatörleri de dahil olmak üzere tehdit aktörlerinin, yamaların yayınlandığı ürünlerindeki güvenlik açıklarını hedef aldığı bilinmektedir.

        İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

        İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'teki fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve planlı ameliyatların iptal edilmesine neden olduğunu doğruladı. Şirket, fidye yazılım saldırısının kurbanı olduğunu ve NHS uzmanlarının yardımıyla güvenlik ihlalini araştırdıklarını açıkladı.

        İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'e yapılan fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve 800'den fazla planlı ameliyat ile 700 ayakta tedavi randevusunun iptal edilmesine neden olduğunu doğruladı. Saldırı, Guy’s and St Thomas’ ve King’s College Hospital NHS Foundation Trust'larının yanı sıra güneydoğu Londra'daki birinci basamak sağlık hizmetlerini de olumsuz etkiledi.

        Saldırının arkasında Qilin fidye grubunun olduğundan şüpheleniliyor. Synnovis, saldırı sonrası sistemlerini kurtarmak için çalışmalarını sürdürüyor, ancak tam iyileşme zaman alacak ve bu süreçte testlerin ve randevuların yeniden planlanması gerekecek.

        NHS, kan eşleştirme testlerindeki aksaklıklar nedeniyle O tipi kan bağışları için acil bir çağrı yaptı. O Negatif ve O Pozitif kanın kullanımı artırılmış durumda, bu nedenle bağışçılardan kan vermeleri isteniyor. O Negatif kan, acil durumlarda evrensel olarak kullanılabilir ve bu nedenle kritik öneme sahip.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar