cisco etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
cisco etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

30 Temmuz 2024

Siber Güvenlik Bülteni - Temmuz 2024

 

Bültenimizin Temmuz Ayı konu başlıkları; 
    • CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu
    • APT41 Saldırılarında Türkiye’yi de Hedef Alıyor
    • SolarWinds 'de Kritik Zafiyetler
    • Juniper 'de Kritik Zafiyet
    • Cisco 'da Kritik Zafiyet

    CrowdStrike 'ın Hatası Dünya Çapında Büyük Kesintiye Neden Oldu

    CrowdStrike, Windows cihazlarının Mavi Ekran (BSOD) hatası aldığını gösteren yaygın raporlar aldıktan sonra bir soruşturma başlattı. Mavi ekran hataları, yakın zamanda yapılan CrowdStrike Falcon sensör güncellemesi nedeniyle meydana geldi. Etkilenen cihazlar, çalışamaz hale getiren bir BSOD döngüsüne giriyor.

    CrowdStrike, Cuma gecesi yaptığı açıklamada, 19 Temmuz 2024 saat (UTC) 04:09'da  Windows sistemlerine gönderilen rutin bir sensör yapılandırma güncellemesinin dünya genelinde bilgisayar sistemlerinde mavi ekrana neden olan bir mantık hatasını tetiklediğini söyledi.

    Şirket, geçici çözüm olarak sistemlerin Güvenli Mod'da başlatılarak bir CrowdStrike bileşeninin silinmesini öneriyor.

    CrowdStrike CEO'su George Kurtz, sosyal medya platformu X üzerinden yaptığı açıklamada, sorunun Windows cihazları için tek bir içerik güncellemesinde bulunan bir "hata" nedeniyle meydana geldiğini söyledi. "Mac ve Linux cihazları etkilenmedi. Bu bir güvenlik olayı veya siber saldırı değil. Sorun tanımlandı, izole edildi ve bir düzeltme yayımlandı," diyerek durumu izah etmeye çabaladı.

    Hatalı CrowdStrike güncellemesi dünya genelindeki büyük havaalanları da dahil birçok kuruluş için ciddi sorunlara neden oldu ve halen sorunun yarattığı problemli sistemler de mevcut.

    American Airlines, BBC'ye yaptığı açıklamada, uçuşların kalkışına izin verilmediğini ve olayın "CrowdStrike ile ilgili bir teknik sorun" nedeniyle olduğunu söyledi.

    Halka açık CrowdStrike hisseleri, ilk günkü işlemlerde %11'den fazla düştü.

    Microsoft, yaptığı açıklamada, "bir CrowdStrike güncellemesinin dünya genelinde birçok BT sistemini çökerttiğini" söyledi. Şirket, müşterilerin iyileşmesine yardımcı olmak için aktif olarak destek veriyor.
    Azure bulut hizmetinin durum sayfasında, CrowdStrike Falcon ajanını çalıştıran bazı sanal makinelerin de etkilendiği belirtiliyor.
     
    Yaşanan Sorunlara Dair Son Veriler;
    • Son belirlemelere göre CrowdStrike güncellemesinin 8,5 milyon Windows cihazını etkilediği tahmin ediliyor.
    • CrowdStrike ile bağlantılı yakın zamanda yaşanan küresel BT kesintisi, Fortune 500 şirketlerinin %25’i etkilendi ve tahmini 5,4 milyar dolarlık doğrudan mali kaybına neden oldu.
    • En çok etkilenen  sektörler; Sağlık (1.94 milyar dolar), Bankacılık (1.15 milyar dolar), Havacılık (860 milyon dolar), Yazılım ve IT (560 milyon dolar), Perakende/Toptan(470 milyon dolar), Diğer (190 milyon dolar), Finans (140 milyon dolar), Ulaşım ve Lojistik (70 milyon dolar) ve Üretim (40 milyon dolar)

    KONUYLA İLİŞKİ SALDIRILAR DA ARTTI;

    Son dönemlerde Crowdstrike üzerinden oltalama ve sosyal mühendislik sayılarında ciddi artış bulunmaktadır ve güncelleme dosyası olarak   zararlı yazılım dağıtımı yapılmaktadır.

    Tespit Edilen Bazı Siteler;

    crowdstrike.phpartners[.]org
    crowdstrike0day[.]com
    crowdstrikebluescreen[.]com
    crowdstrike-bsod[.]com
    crowdstrikeupdate[.]com
    crowdstrikebsod[.]com
    www.crowdstrike0day[.]com
    www.fix-crowdstrike-bsod[.]com
    crowdstrikeoutage[.]info
    www.microsoftcrowdstrike[.]com
    crowdstrikeodayl[.]com
    crowdstrike[.]buzz
    www.crowdstriketoken[.]com
    www.crowdstrikefix[.]com
    fix-crowdstrike-apocalypse[.]com
    microsoftcrowdstrike[.]com
    crowdstrikedoomsday[.]com
    crowdstrikedown[.]com
    whatiscrowdstrike[.]com
    crowdstrike-helpdesk[.]com
    crowdstrikefix[.]com
    fix-crowdstrike-bsod[.]com
    crowdstrikedown[.]site
    crowdstuck[.]org
    crowdfalcon-immed-update[.]com
    crowdstriketoken[.]com
    crowdstrikeclaim[.]com
    crowdstrikeblueteam[.]com
    crowdstrikefix[.]zip
    crowdstrikereport[.]com

    APT41 Saldırıları Türkiye’yi de Hedef Alıyor

    Çinli tehdit gruplarından biri olan APT41, küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv endüstrileri de dahil olmak üzere birçok kilit sektördeki kuruluşları hedef alarak, süreklilik gösteren saldırılar ile siber casusluk kampanyası yürütüyor.

    Gelişmiş sürekli tehdit (APT) aktörü, yeni saldırı kampanyasını 2023 yılının başlarında başlatmış gibi görünüyor. O zamandan beri grup, birçok kurbanın ağlarına başarılı bir şekilde sızdı ve bu ağlara sahiplerince tespit edilemeyen uzun süreli izinsiz erişimini sürdürdü. Etkilenen kuruluşların çoğu Birleşik Krallık, İtalya, İspanya, Tayvan, Tayland ve Türkiye'de bulunuyor.

    APT41, 2012'den bu yana küresel çapta siber casusluk, tedarik zinciri saldırıları ve finansal motivasyonlu saldırılar gibi siber suçlara yönelen ve Çin merkezli olan tehdit aktörlerini kapsayan bir terimdir. Yıllar içinde güvenlik araştırmacıları, APT41 kollektifine dahil olan Wicked Panda, Winnti, Suckfly ve Barium gibi birçok alt grubu tanımladı. Bu gruplar, ABD kuruluşları ve dünya çapındaki diğer varlıklardan Çin hükümeti adına ticari sırları, fikri mülkiyetleri, sağlıkla ilgili verileri ve diğer hassas bilgileri çaldı. 2020 yılında ABD hükümeti, dünya genelinde 100'den fazla şirkete yapılan saldırılara katıldıkları veya katkıda bulundukları gerekçesiyle APT41'in beş üyesini suçladı. Ancak bu suçlamalar, grubun faaliyetlerini şimdiye kadar caydırmak için pek bir işe yaramadı.
     
    APT41'in Saldırdığı Sektörler ve Yaygın Coğrafi Etkisi

    Nakliye ve lojistik sektöründe hedeflenen kuruluşların neredeyse tamamı Orta Doğu ve Avrupa'da bulunurken, medya ve eğlence sektöründe hedeflenen tüm kuruluşlar Asya'da yer almaktadır. Nakliye ve lojistik sektöründeki birçok kurban, aynı sektördeki büyük çok uluslu şirketlerin yan kuruluşları veya bağlı kuruluşları olarak birçok kıtada operasyonlara sahiptir.

    Özel Siber Casusluk Araçları

    Araştırmacılar ayrıca APT41 aktörlerinin devam eden saldırı kampanyasında kötü amaçlı yazılım yüklemek, arka kapılar oluşturmak, ele geçirilen ağlarda yatay hareket etmek ve verileri dışarı çıkarmak için bir dizi özel araç kullandığını gözlemledi. Araçlar, AntsWord ve BlueBeam adlı iki web kabuğu içeriyor ve tehdit aktörü, bu araçları kullanarak DustPan adlı bir yükleyiciyi indiriyor ve bu yükleyici, kurban sistemlerinde Beacon sonrası uzlaşma aracını yüklemeye çalışıyor.
     
    APT41 aktörlerinin şu an etkili bir şekilde kullandığı diğer araçlar arasında Oracle Veritabanlarından veri kopyalamak için SQLULDR2 adlı kötü amaçlı yazılım ve ele geçirilen ağdan büyük miktarda veriyi analiz etmek için bir OneDrive hesabına dışarı çıkarmak üzere PineGrove adlı kötü amaçlı yazılım da yer alıyor.
     
    Araştırmacılar şu ana kadar, APT41'in mevcut saldırı kampanyasında saldırılarını herhangi bir şekilde paraya çevirmeye çalıştığına dair hiçbir kanıt bulamadı. Ancak, uzlaşma sonrası faaliyetler hakkında tam bir bilgiye sahip olmadıklarını ve bu yüzden kesin olarak söyleyemeyeceklerini de eklediler.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    SolarWinds 'de Kritik Zafiyetler

    SolarWinds, Access Rights Manager (ARM) yazılımında uzaktan kod yürütme (RCE) olanağı sağlayan altı güvenlik açığı da dahil olmak üzere sekiz kritik güvenlik açığını giderdi.

    Uzaktan kod yürütme güvenlik açıkları (CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471 ve CVE-2024-23470) saldırganların ayrıcalık olmadan, sistem ayrıcalıklarıyla veya ayrıcalıksız olarak hatasız sistemlerde kod veya komut yürütmesine olanak tanır.
     
    Şirket ayrıca, kimliği doğrulanmamış kullanıcıların keyfi dosya silme işlemi yapmasına ve kısıtlı dizinlerin dışındaki dosya veya klasörlere erişerek hassas bilgilere ulaşmasına izin veren üç kritik dizin geçişi hatasını (CVE-2024-23475 ve CVE-2024-23472) da yamaladı.
     
    Buna ek olarak, kimliği doğrulanmamış kötü niyetli aktörlerin Active Directory ortamında etki alanı yöneticisi erişimi kazanmasına olanak tanıyabilecek yüksek derecede bir kimlik doğrulama atlama açığını (CVE-2024-23465) da düzeltti.

    SolarWinds, bu açıkları Access Rights Manager 2024.3'te yamaladı ve bu sürümü hata ve güvenlik düzeltmeleriyle yayınlandı.

    Şirket, bu hatalar için konsept kanıtı (proof-of-concept) istismarlarının doğada bulunup bulunmadığını veya bu hatalardan herhangi birinin saldırılarda kullanılıp kullanılmadığını henüz açıklamadı.

    CVE-ID  Güvenlik Açığı Başlığı

    CVE-2024-23469  SolarWinds ARM Tehlikeli Yöntem Uzaktan Kod Yürütme
    CVE-2024-23466  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
    CVE-2024-23467  SolarWinds ARM Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
    CVE-2024-28074  SolarWinds ARM İçsel Serileştirme Uzaktan Kod Yürütme Güvenlik Açığı
    CVE-2024-23471  SolarWinds ARM CreateFile Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
    CVE-2024-23470  SolarWinds ARM UserScriptHumster Tehlikeli Yöntem RCE Güvenlik Açığı
    CVE-2024-23475  SolarWinds ARM Dizin Geçişi ve Bilgi Açığa Çıkma Güvenlik Açığı
    CVE-2024-23472  SolarWinds ARM Dizin Geçişi Keyfi Dosya Silme ve Bilgi Açığa Çıkma
    CVE-2024-23465  SolarWinds ARM ChangeHumster Tehlikeli Yöntem Kimlik Doğrulama Atlama

    Şubat ayında şirket, Access Rights Manager (ARM) çözümünde üçü kritik olarak değerlendirilen ve kimliği doğrulanmamış istismara izin veren beş RCE güvenlik açığını yamaladı.

    Dört yıl önce SolarWinds'in iç sistemleri, Rus APT29 hacker grubu tarafından ihlal edildi. Tehdit grubu, Mart 2020 ile Haziran 2020 arasında müşteriler tarafından indirilen Orion BT yönetim platformu sürümlerine kötü amaçlı kod enjekte etti.

    O zamanlar dünya çapında 300.000'den fazla müşteriye hizmet veren SolarWinds, Apple, Google ve Amazon gibi yüksek profilli teknoloji şirketleri ve ABD Askeriyesi, Pentagon, Dışişleri Bakanlığı, NASA, NSA, Posta Servisi, NOAA, Adalet Bakanlığı ve Amerika Birleşik Devletleri Başkanlık Ofisi gibi devlet kuruluşları da dahil olmak üzere Fortune 500 şirketlerinin %96'sına hizmet veriyordu.
     
    Ancak, Rus devlet hackerları trojanlı güncellemeleri binlerce sisteme Sunburst arka kapısını dağıtmak için kullansa da, yalnızca çok daha küçük bir SolarWinds müşteri grubunu daha fazla istismar için hedef aldılar.
     
    Tedarik zinciri saldırısı ortaya çıktıktan sonra, birden fazla ABD hükümet kurumu kampanyada ağlarının ihlal edildiğini doğruladı. Bunlar arasında Dışişleri Bakanlığı, İç Güvenlik Bakanlığı, Hazine Bakanlığı ve Enerji Bakanlığı, Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), Ulusal Sağlık Enstitüleri ve Ulusal Nükleer Güvenlik İdaresi yer alıyordu.
     
    Nisan 2021'de ABD hükümeti, 2020 SolarWinds saldırısını düzenlemekle Rusya Dış İstihbarat Servisi'ni (SVR) resmen suçladı ve Ekim 2023'te ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), SolarWinds'i saldırıdan önce yatırımcılara siber güvenlik savunma sorunlarını bildirmediği için suçladı.

    Juniper 'de Kritik Zafiyetler

    Juniper Networks, Session Smart Router (SSR)Session Smart Conductor ve WAN Assurance Router ürünlerinde kimlik doğrulama atlamasına yol açan en yüksek seviyeli güvenlik açığını gidermek için acil bir güncelleme yayınladı.
     
    Güvenlik sorunu CVE-2024-2973 olarak izleniyor, bu açık ile bir saldırgan bu açığı kullanarak cihazın tam kontrolünü ele geçirebilir.
     
    "Redundant peer ile çalışan Juniper Networks Session Smart Router veya Conductor'daki Kimlik Doğrulama Atlaması (Authentication Bypass) kullanarak Alternatif Bir Yol veya Kanal ile bir ağ tabanlı saldırganın kimlik doğrulamayı atlamasına ve cihazın tam kontrolünü ele geçirmesine olanak tanır" şeklinde açıklanıyor.
     
    Juniper güvenlik danışmanlığında, "Yalnızca yüksek kullanılabilirlikli redundant konfigürasyonlarda çalışan Router veya Conductor'lar bu güvenlik açığından etkilenmektedir" diye belirtiyor.

    Bu açıklık büyük kurumsal ortamlarda, veri merkezleri, telekomünikasyon, e-ticaret ve hükümet veya kamu hizmetleri de dahil olmak üzere, görevi açısından kritik olan ağ altyapılarında yaygın bir konfigürasyon olmasından sorunu oldukça yaygın hale getirir.
     
    CVE-2024-2973 tarafından etkilenen ürün sürümleri:
     
    Session Smart Router & Conductor:
    5.6.15'ten önceki tüm sürümler
    6.0 sürümlerinden 6.1.9-lts'den önce
    6.2 sürümlerinden 6.2.5-sts'den önce
     
    WAN Assurance Router:
    6.0 sürümlerinden 6.1.9-lts'den önce
    6.2 sürümlerinden 6.2.5-sts'den önce
    Session Smart Router için güvenlik güncellemeleri 5.6.15, 6.1.9-lts ve 6.2.5-sts sürümlerinde mevcuttur.
     
    WAN Assurance Routers, Mist Cloud'a bağlı olduğunda otomatik olarak yamalanır, ancak Yüksek Kullanılabilirlik kümelerinin yöneticilerinin SSR-6.1.9 veya SSR-6.2.5'e yükseltme yapmaları gerekmektedir.
     
    Juniper ayrıca, Conductor düğümlerini yükseltmenin bağlı yönlendiricilere otomatik olarak düzeltmeyi uygulamak için yeterli olduğunu, ancak yönlendiricilerin yine de mevcut en son sürüme yükseltilmesi gerektiğini belirtiyor.

    Bu güvenlik açığı için herhangi bir geçici çözüm mevcut değildir ve önerilen eylem, mevcut düzeltmeleri uygulamakla sınırlıdır.
     
    Juniper'e yönelik saldırılar

    Juniper ürünleri, kritik ve değerli ortamlarda sıklıkla karşılaşıldıkları için hackerlar için cazip bir hedeftir. Geçen yıl, Juniper EX anahtarları ve SRX güvenlik duvarları, dört güvenlik açığını içeren bir istismar zinciri yoluyla hedef alındı ve üretici ilgili bülteni yayınladıktan bir hafta sonra kötü niyetli faaliyetler gözlemlendi.

    Cisco 'da Kritik Zafiyetler

    Cisco NX-OS Yazılımının Komut Satırı Arayüzü (CLI) içindeki kritik bir güvenlik açığı şu anda aktif olarak istismar edilmekte olup, saldırganların etkilenen cihazlarda kök kullanıcı olarak keyfi komutlar çalıştırmasına olanak tanımaktadır.
     
    CVE-2024-20399 olarak tanımlanan bu sıfır gün açığı, özellikle Cisco’nun Nexus ve MDS serisi anahtarlarını kullanan kuruluşlar için önemli bir ağ güvenliği tehdidi oluşturmaktadır.
     
    Güvenlik açığı, belirli yapılandırma CLI komutlarına geçirilen argümanların yetersiz doğrulanmasından kaynaklanmaktadır. Yönetici kimlik bilgilerine sahip kimliği doğrulanmış, yerel bir saldırgan, etkilenen bir yapılandırma CLI komutuna argüman olarak özel hazırlanmış bir girdi sağlayarak bu açığı istismar edebilir. Başarılı istismar, saldırgana kök ayrıcalıkları kazandırarak temel işletim sistemi üzerinde keyfi komutlar çalıştırma yeteneği sağlar.
     
    Etkilenen Ürünler

    Cisco NX-OS Yazılımının savunmasız bir sürümünü çalıştırıyorsa, aşağıdaki Cisco ürünleri etkilenir:
     
    MDS 9000 Serisi Çok Katmanlı Anahtarlar
    Nexus 3000 Serisi Anahtarlar
    Nexus 5500 Platform Anahtarları
    Nexus 5600 Platform Anahtarları
    Nexus 6000 Serisi Anahtarlar
    Nexus 7000 Serisi Anahtarlar
    Nexus 9000 Serisi Anahtarlar, bağımsız NX-OS modunda

    Özellikle, Nexus 3000 ve Nexus 9000 serisinin belirli modelleri, Cisco NX-OS Yazılımı sürümleri 9.3(5) ve sonrası çalıştırıyorsa etkilenmez. Ancak N3K-C3264C-E ve N9K-C92348GC-X modelleri gibi bazı modellerin, sürüm 10.4.3 ve sonrasına güncellenmesi gerekmektedir.
     
    İstismar ve Azaltma

    Kötü amaçlı yazılım, uzaktan bağlantı, dosya yükleme ve sistem syslog mesajlarını tetiklemeden kötü amaçlı kod çalıştırma olanağı sağlar, böylece saldırıyı gizler.
     
    Cisco, bu güvenlik açığını gidermek için yazılım güncellemeleri yayınladı. Ancak, herhangi bir geçici çözüm mevcut değildir.
     
    Yöneticilerin güncellemeleri derhal uygulamaları ve olası riskleri azaltmak için network-admin ve vdc-admin gibi yönetici kullanıcıların kimlik bilgilerini düzenli olarak izlemeleri ve değiştirmeleri tavsiye edilir.
     
    Cisco, etkileşimli yazılım güncellemelerini belirlemek ve uygun yazılım güncellemelerini bulmak için Cisco Software Checker aracını sağlamakta. Bu araç, etkilenmiş yazılım sürümlerini ve en erken düzeltme sürümlerini belirlemeye yardımcı olmakta. Yöneticiler, bu araca Cisco Software Checker sayfasından erişebilirler.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    06 Temmuz 2022

    Siber Güvenlik Bülteni - Haziran 2022

     

    Bültenimizin Haziran ayına ait başlıkları; 
      • Fidye Yazılım Grupları Taktik Değiştiriyor
      • VPN Servisleri Dert Açmaya Devam Ediyor
      • 900.000 Kubernetes Kümesi Açığa Çıktı
      • QNAP NAS Cihazları Tekrar Hedef Oldu
      • Tedarikçi Saldırıları Artıyor

      Fidye Yazılım Grupları Taktik Değiştiriyor

      Saldırgan çeteler, gelirleri birçok kurumsal şirketi geçmesine rağmen, her geçen gün saldırı ölçeklerini artırmaya ve daha da acımasız olmaya devam ediyorlar.


      Fidye yazılımı çeteleri bilindiği üzere kurum ağına sızarak, bilgileri şifreler ve çalar. Sızma metotları ise değişiklik göstermektedir. Kimi zaman çalışanlar hedeflenerek e-posta aracılığı ile, kimi zaman kurum dışarısına açık olan zayıf parolalı veya parolasız sistemler üzerinden gerçekleşir. Fakat özellikle son zamanlarda dışarıya açık olan VPN servislerinde çıkan zafiyetleri kullanarak sisteme sızmaktadırlar.

      ALPHV fidye yazılımı çetesi diğer adıyla BlackCat yeni bir metoda imza attı ve bir veritabanı web sayfası oluşturdu. Bu şekilde herhangi bir kurum veya bir personel kendi ile alakalı çalınmış bir veri var mı diye aratabiliyor, buradaki amaç ise KVKK/GDPR gibi otoriterelere olan yükümlülüğü kullanarak fidye saldırısına uğramış kurumların hızlıca ödeme yapıp bu veritabanından kendisini kaldırılmasını sağlamak.

      Bu yeni metot ilk kez bir otel saldırısı sonrasında gerçekleşti. Otele sızan grup çaldıkları otelde kalanlar listesi, çalışanların sosyal güvenlik numaraları ve Spa kullanan müşteri listelerini arama yaparak kontrol etme imkanı sağladı. Bu web sayfasının İnternet'e açık olması dolayısıyla, yakın zamanda ifşa olmuş birçok kurumun verilerinin arama motorlarında da listeleneceğini söylemek zor değil.

      VPN Servisleri Dert Açmaya Devam Ediyor

      Kurumlar pandemi öncesinde aktif olarak kullandıkları VPN servislerini, pandemi ile beraber vazgeçilmez bir noktaya taşıdılar. Bu durumdan ise en çok faydalanan kurumlar veya çalışanların aksine siber saldırganlar oldu.

      Son zafiyet ise Cisco'da tespit edildi. CVE-2022-20825 kodunu alan zafiyet, CVSS 10.0 üzerinden 9.8 önem derecesine sahip. HTTP paketlerinin yetersiz kullanıcı doğrulaması sebebiyle, dışarıya açık olan web yönetim arabirimine özel hazırlanmış bir istek gönderilerek, kök düzeyinde komut çalıştırmaya imkan sağlamaktadır. Buna rağmen Cisco, etkilenen sistemlerinden Small Business RV ürünlerinin desteği biten sürümleri için herhangi bir yama yayınlamayacağını açıkladı.

      Yapılan araştırmalara göre;
      • Kurumların yaklaşık %93'ü aktif olarak VPN servislerini kullanıyor.
      • Kurumların %72'si VPN servislerinin açık olmasından ve çıkan zafiyetlerden dolayı siber vakalardan endişe duyuyor.
      • Kurumların %67'sinin geleneksel VPN kullanmanın ötesinde bir alternatif arayışı sürüyor.
      • Kurumların %59'u VPN servislerinde çıkan zafiyetlerden dolayı Zero Trust (Sıfır Güven) gibi ek güvenlik yaklaşımlarına geçiş çalışmaları yapıyor.
      • Gartner raporuna göre ise 2023 yılında kurumların %60'ının VPN'leri aşamalı olarak kaldırıp, Zero Trust Network Access (Sıfır Güven Ağ Erişimi) teknolojilerine geçiş yapacağını öngörüyor.

      900.000 Kubernetes Kümesi Açığa Çıktı

      Bulut teknolojilerin kullanımının artması hayatımızda birçok teknolojik çözümünde evrilmesine sebep oldu, bunlardan öne çıkan başlıca teknolojilerden birisi de şüphesiz ki Kubernetes'dir.

      Bu tür teknolojilere geçişlerin plansız ve uzman olmayan ekipler tarafından yönetiliyor olması ise yeni siber dünyadaki en son büyük risk olarak ortaya çıkıyor. Son bulguya göre yanlış yapılandırılmış 900.000 Kubernetes Kümesi dışarıya açık hale geldi, bu servislerin dışarı açılması şirketleri siber saldırıya maruz bırakıyor.

      Arama motorları üzerinden ve tarama araçlarıyla internete açık hale gelen %65'i (585.000) ABD, %14'ü Çin, %9'u Almanya, %6'sı Hollanda ve İrlanda'dan olmak üzere 900.000 Kubernetes Kümesi siber saldırıya açık halde bulunmaktadır. Bunların içerisinde veri ifşasına sebep olan birçok kümede de yer almaktadır.

      Açıkta bulunan sunucular arasında  en fazla kullanılan TCP portları 443, 10250 ve 6443 olarak yer almaktadır. Bu sunucular üzerinde direkt ele geçirilmesini engelleyen korumalar mevcuttur, fakat uzaktan sömürülebilir bir zafiyetin çıkmasıyla büyük veri hırsızlığına uğrayacaktır.

      QNAP NAS Cihazları Tekrar Hedef Oldu

      Geçtiğimiz dönemlerde yedekleme sistemi QNAP NAS cihazlarının çokça hedeflendiğini biliyoruz. Fidye yazılımı grubu ech0raix diğer adıyla QNAPCrypt, tekrar QNAP NAS sistemlerini hedeflemeye başladı. İnternete açık olan NAS cihazlarını hedefleyen grup bruteforce (kaba kuvvet) yöntemiyle 2019 yılından itibaren QNAP müşterilerine büyük ölçekli saldırılar gerçekleştirdi.

      QNAP'ı periyodik olarak hedefleyen grup Şubat 2022'den bu yana herhangi bir kayıtlı saldırı gerçekleştirmemiş fakat Haziran 2022 ile birlikte tekrar QNAP sistemlerini hedeflemiştir. Saldırı detayları ile alakalı QNAP tarafından yapılmış henüz bir açıklama bulunmamaktadır.

      NAS'ınızı saldırılara karşı koruma yöntemleri;
       

      • NAS sistemlerinizin güncellemelerini yakından takip ediniz.
      • Hesaplarınız için güçlü bir parola oluşturmalısınız.
      • Çevrimdışı olarak yedeklerinizin kopyalarını alınız.
      • Bruteforce'u engellemek için IP erişim korumasını aktif hale getiriniz.
      • Zero Trust yaklaşım ile dışarı açık olan tüm servislerinizi güvenli hale getiriniz.

      Tedarikçi Saldırıları Artıyor

      Fidye yazılımı grupları her geçen gün saldırı yüzeylerini genişletmeye devam ediyor. Fidye ödemeyi kabul eden kurumlar ile beraber gittikçe zenginleşen gruplar, hem hedef sektörlerini hem de taktiklerini genişletiyor.

      Son kurban ise Toyota Grubu'na ait parça üreticisi Toyota Boshoku'nun bir parçası olan TB Kawashima'nın yan kuruluşlarından biri oldu.

      TB Kawashima, ABD, Çin, Tayland, Endonezya ve Hindistan'da ofisleri ve fabrikaları bulunan otomobiller, uçaklar, trenler ve tiyatrolar için iç mekan kumaşı üretmektedir. Saldırı meşhur Lockbit fidye yazılımı grubu tarafından gerçekleştirildi. TB Kawashima tarafından henüz bir doğrulama gelmese bile Lockbit web sayfasında veritabanını satışa çıkardı. Kurumun web sitesi kapatılırken, hem siber güvenlik ekibi hem de kolluk kuvvetler konuyla alakalı araştırmalara başladı.

      Siber güvenlik üzerine Nisan 2020 ve Şubat 2022 arasında yapılan araştırmalara göre otomotiv ve ulaşım sektöründeki şirketler fidye yazılımı grupları için ilk 3'te yer almaya başladı.

      Daha önce fidye saldırısına uğrayan Tesla, Honda, Nissan, Toyota gibi dünya operasyonları olan şirketleri gördük, fakat tedarikçilerinde hedeflenmesi bu tür dünyaya yaygın operasyonu olan ve buradaki üretime bağlı olarak hareket eden tüm şirketleri ciddi zarara sürüklemekte ve itibar kayıplarına sebebiyet vermektedir.

      Lockbit fidye yazılım grubu ise her geçen gün fidyelerini daha hızlı alabilmek ve daha fazla kuruma erişmek için taktik değiştirmeye devam ediyor, son güncellemede kurumlara sızmak için yeni taktik ve bilgi verenler için "Kötücül - Bug Bounty ödül" programı açtığını duyurmuştu.

      Siber Saldırılara Karşı
      TINA Çözümlerimiz

      Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

      01 Mart 2021

      Siber Güvenlik Bülteni - Şubat 2021

       

      Cisco'da Kritik Zafiyet

       

      Cisco'nun siteler arası politika yönetici yazılımında kritik bir güvenlik açığı tespit edildi. Güvenlik açığı uzaktaki bir kullanıcının kimlik doğrulatmayı atlatabilmesine olanak sağlamaktadır. Güvenlik açığı, Cisco ACI Multi-Site Orchestrator (MSO)'da tespit edilmiştir.

      Güvenlik açığı (CVE-2021-1388), CVSS güvenlik açığı derecelendirmesinde 10 üzerinden 10 almıştır. Ayrıca zafiyet ACI MSO 3.0 sürümlerini etkilemektedir. Cisco'dan yapılan açıklamada henüz tespit edilen bir istismar kodundan veya kötüye kullanımından haberdar olunmadığı söylendi. Ürün kullanıcılarının zafiyeti engellemek amaçlı Cisco ACI MSO 3.0(3m) sürümüne güncellemeleri gerekmektedir. Ek olarak güvenlik açığı ve öneriler hakkında Cisco güvenlik danışma sayfasını buradan ziyaret edebilirsiniz.

      Kargo Firması Oltalama Saldırısı

      Her geçen gün oltalama saldırıları farklı bir plan ile hayatımızda yer almaya devam ediyor. Bu seferki saldırıda yaklaşık 10.000 kişi hedeflenmiş ve oltalama saldırı kurgusu DHL Express, FedEx gibi kargo şirketleri taklit edilerek gönderilmiş. Pandemiyi düşününce kargo firmalarını taklit etmeleri gayet zekice bir planlama olduğunu söyleyebiliriz. Saldırının amacı; kullanıcıların kurumsal e postalarını ele geçirmek.

      Gönderilen e-posta içerisinde yönlendirme amaçlı linkler bulunmaktadır,​bu linklerin eposta filtrelerine takılmadan ulaşabilmesi için, kimlik avı sayfalarının Quip ve Google Firebase güvenli adresleri üzerinde barındırıldığı tespit edilmiştir. Bu şekilde kötü niyetli sayfaların ve formların, eposta güvenlik servislerini Bypass etmesi sağlanmıştır.

      Senaryo şu şekilde planlanmıştır, kullanıcı gelen maile tıkladığında link onu Quip üzerinde bulunan sahte FedEx belgeleri sergileyerek, detaylarının görülmesi için kurbanı detay sayfasına yönlendirmektedir. Kurban buraya tıkladıktan sonra ise Google Firebase üzerinde kurgulanan sahte Microsoft giriş ekranına yönlendirerek kurbanların kullanıcı bilgilerini ele geçirmektedir. Quip ve Google Firebase ücretsiz versiyonları, saldırganların işini kolay ve hızlıca yapmasına olanak sağlamaktadır.

      3.2 Milyar Kullanıcı Adı ve Parola

      Popüler bir hacking formunda benzersiz ve açık metin olarak derlenmiş 3,2 milyardan fazla kullanıcı adı ve parola ile birlikte giriş bilgisi yayınlandı. Bu bilgilerin daha önceki sızıntılardan elde edilen, Linkedin, Netflix, Bitcoin gibi hesap bilgilerinden derlendiği düşünülüyor.

      Bu ihlal dosyasının adı COMB "Compilation of Many Breaches” (Birçok İhlalin Derlenmesi) olarak yayınlanmış ve parola korumalı bir arşiv dosyası olarak paylaşılmıştır. Yapılan incelemelerde uzmanlar, yeni bir ihlal içermediğini ve çoğunluğunun önceki yıllardan gelen ihlallerin bir noktada toplandığını iddia etti. Ayrıca uzmanlar yapılan incelemelerde birçok kullanıcı adı ve parolanın hâlâ geçerli olduğunu ve kullanılabilir olduğunu belirtti. Bunun yanında ihlalin sadece bir liste değil, etkileşimli veri tabanı olması hackerler istediği kullanıcı adı ve parolaya hızlıca ulaşmasına olanak sağlamakta ve riski bir adım ileriye taşımaktadır.

      VMware Kritik Zafiyet

      Zafiyet (CVE-2021-21972) vCenter, vSphere üzerinde kod çalıştırmaya olanak sağlamaktadır. Vmware sunucularda kritik zafiyet yama yayınlanması akabinde istismar kodu yayınlandı ve birçok saldırgan dünyadaki zafiyetli sistemleri taramaya başladı. Yaklaşık 6,700 VMware sunucusu hali hazırda yamalanmamış ve saldırıya açık durumdadır.

      VMware bu zafiyeti 10 üzerinden 9.8 olarak değerlendirdi ve acilen yama yapılmasını önerdi, yamaya buradan ulaşabilirsiniz.

      Geçtiğimiz yıllardaki zafiyetlerin fidye saldırılarında kullanıldığına şahit olmuştuk, bu yüzden bu zafiyetinde yeni fidye saldırılarında aktif olarak kullanılacağını öngörmekteyiz, hızlıca yama yapmanızı öneririz.

      Saldırından şirket içi veya üretim ortamından herhangi bir kısmın etkilendiğine daire kanıtın olmadığı, ürünlerin kullanımında bir güvenlik problemi olmadığı söylendi.

      ThreatNeedle, Saldırılarında Savunma Sanayini Hedef Alıyor

      Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

      Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word ekinin açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapısı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

      ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. İncelenen ThreatNeedle, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerliklerini tespit etti. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

      Bu saldırıdan son belirlemelere göre 12 ye yakın ülkede birçok kuruluş saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1,3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

      Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word'ün açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

      ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. ​İncelemelerde ThreatNeedle'ın, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerlikleri tespit edildi. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

      ​Son belirlemelere göre 12'ye yakın ülkede birçok kuruluş bu saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1.3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Lazarus Grubu da 2020 başlarından itibaren savunma sanayine odaklandı.

      Apple M1 "Silver Sparrow" Zararlı Yazılım

      Uzun yıllardır saldırı kullanım yoğunluğunun az olmasından dolayı saldırı gerçekleşmeyen Apple, kullanımı arttığı her geçen gün farklı saldırılara maruz kalmaya devam ediyor. Geçtiğimiz aylarda kendi işlemci yapısı olan M1 işlemcileri duyuran Apple, geçtiğimiz hafta siber saldırıya maruz kaldı. Tespit edilen ilk zararlı yazılımdan günler sonra ikinci zararlı yazılım ile alakalı da tespitler gerçekleşti.

      Zararlı yazılım "Silver Sparrow" olarak adlandırıldı ve yaklaşık 30,000 Mac cihazında olduğu düşünülüyor. Ayrıca zararlı yazılım hem M1 işlemcili hem de Intel x86_64 cihazlarında çalışıyor. ABD, İngiltere, Fransa, Kanada ve Almanya yoğun olmak üzere 153 ülkede tespit edildi.

      Florida Su Şebekesi Siber Saldırı

      ABD'nin Florida eyaletinde su şebekelerine siber saldırı gerçekleşti. Sisteme sızan siber korsanlar sudaki soydum hidroksit oranını artırarak halkı zehirlemeyi planladı. Saldırı gerçekleşirken seviyelerin değiştiğini fark eden bir operatör tarafından kimseye zarar gelmeden engellendi.

      Yapılan incelemede saldırının su tesisi üzerindeki SCADA sistemlerini incelemek, kontrol etmek ve gerekli düzenlemeleri yapmak için kullanılan TeamViewer üzerinden gerçekleştiği tespit edildi. Ayrıca sistemde Windows 7 32 bit bir sistem üzerine kurulu bir yapının olduğu, hepsinde aynı parolanın kullanıldığı ve herhangi bir güvenlik önlemi kurgulanmadığı ortaya çıktı.

      Erişim bilgilerinin ise nasıl bulunduğu hâlâ araştırılıyor fakat 2017 yılında yayınlanan büyük bir ihlal veri tabanı üzerinde kurum ve çalışanlarına ait birçok parola tespit edildi ve bu parolaların hâlâ geçerli olduğu gözlemlendi. Bu yüzden yapılan saldırı, muhtemelen daha önceden ele geçirilmiş parolalar ile rahat bir şekilde gerçekleşti.

      Popüler Yayınlar