Siber Güvenlik Bülteni - Ağustos 2024

 

Bültenimizin Ağustos Ayı konu başlıkları;  Vmware ESXİ Zafiyeti Ransomware Grupları Tarafından İstismar Ediliyor Fidye Saldırılarında Rekor Ödemeler Devam Ediyor. Apache OFBiz’de Kritik Güvenlik Zafiyeti 18 Yıllık  0.0.0.0 Zafiyeti Zero-click Windows TCP/IP RCE Zafiyeti

Vmware ESXİ Zafiyeti Ransomware Grupları Tarafından İstismar Ediliyor

VMware ESXi hipervizörlerini etkileyen ve yakın zamanda yamalanan bir güvenlik açığı, "birkaç" fidye yazılımı grubu tarafından yetki yükseltme sağlamak ve dosya şifreleyen kötü amaçlı yazılımlar dağıtmak için aktif olarak istismar edildi. Saldırılar, CVE-2024-37085 adlı bir Active Directory entegrasyonu kimlik doğrulama atlatma açığının istismarını içeriyor. Bu açık, saldırganın host üzerinde yönetici erişimi elde etmesine olanak tanıyor. Üretici "Yeterli Active Directory (AD) yetkilerine sahip kötü niyetli bir aktör, daha önce kullanıcı yönetimi için AD kullanacak şekilde yapılandırılmış bir ESXi hostuna, AD'den silindikten sonra yapılandırılmış AD grubunu ('ESXi Admins' varsayılan olarak) yeniden oluşturarak tam erişim sağlayabilir." diye belirtti. Microsoft, 29 Temmuz'da yayınladığı yeni bir analizde, Storm-0506, Storm-1175 (Medusa fidye yazılımını dağıtan Çin merkezli bir tehdit aktörü), Octo Tempest ve Manatee Tempest gibi fidye yazılımı operatörlerinin, Akira ve Black Basta'yı dağıtmak için bu sonrası istismar tekniğini kullandığını belirtti. Araştırmacılar "Active Directory etki alanına katılmış VMware ESXi hipervizörleri, varsayılan olarak 'ESX Admins' adlı bir etki alanı grubunun herhangi bir üyesini tam yönetici erişimine sahip olarak kabul eder.  Bu grup, Active Directory'de yerleşik bir grup değildir ve varsayılan olarak mevcut değildir. ESXi hipervizörleri, sunucu bir etki alanına katıldığında böyle bir grubun varlığını doğrulamaz ve grup başlangıçta mevcut olmasa bile bu adı taşıyan herhangi bir grubun üyelerini tam yönetici erişimine sahip olarak kabul eder." dedi Storm-0506 tarafından Kuzey Amerika'daki ismi açıklanmayan bir mühendislik firmasına yönelik bir saldırıda, tehdit aktörü, QakBot enfeksiyonunu kullanarak ve Windows Common Log File System (CLFS) Sürücüsündeki (CVE-2023-28252) bir diğer açığı istismar ederek ESXi hipervizörlerine yetki yükseltmek için bu güvenlik açığını kullandı. Son birkaç yılda, fidye yazılımı aktörleri, etkiyi en üst düzeye çıkarmak ve tespitten kaçınmak için yeni tekniklere yönelme eğilimi göstermiştir. ESXi hipervizörlerini giderek daha fazla hedef alıyorlar ve internet yüzeyine açık sunuculardaki yeni açıklanan güvenlik açıklarından yararlanarak ilgilendikleri hedefleri ihlal ediyorlar. Yakın zamanda fidye yazılımı içeren saldırılarda, ilk erişim için Fortinet ve Veeam Backup & Replication yazılımındaki bilinen zayıflıklardan yararlanıldığı tespit edilmiştir. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Fidye Saldırılarında Rekor Ödemeler Devam Ediyor.

Zscaler, bir şirket tarafından Dark Angels fidye yazılımı grubuna yapılan 75 milyon ABD doları tutarındaki rekor bir fidye ödemesini keşfetti. Zscaler, 2024 yılının başlarında gerçekleşen bir saldırının ardından 75 milyon dolar fidye ödeyen şirketin adını açıklamadı. Dark Angels fidye yazılımı grubu, Mayıs 2022'den beri aktif ve Dunghill veri sızıntısı sitesini işletiyor. Grup;  sağlık, hükümet, finans ve eğitim gibi geniş bir yelpazedeki sektörleri hedef alıyor ve son zamanlarda büyük sanayi, teknoloji ve telekomünikasyon şirketlerine odaklanıyor. 2024 yılının başlarında bir kurbanın gruba 75 milyon dolar ödediği bir vaka ortaya çıktı. Araştırmacılar, bu yılın başlarında 75 milyon dolarla şimdiye kadarki en büyük fidye ödemesini gördüklerini doğruladı. Raporlarda "Çoğu durumda, Dark Angels grubu, genellikle 1-10 TB aralığında büyük miktarda bilgi çalar. Büyük işletmelerde, grup 10-100 TB arasında veri sızdırmıştır ve bu, günler veya haftalar sürebilir." belirtiliyor. "Dark Angels tarafından gerçekleştirilen en yüksek profilli saldırı, Eylül 2023'te, grup bina otomasyon sistemleri gibi hizmetler sağlayan uluslararası bir holdingi ihlal ettiğinde gerçekleşti. Dark Angels, 51 milyon dolar fidye talep etti, 27 TB'den fazla kurumsal veri çaldığını iddia etti ve şirketin VMware ESXi sanal makinelerini şifreledi. Saldırı sırasında, şirketin dosyalarını şifrelemek için bir RagnarLocker fidye yazılımı varyantı kullanıldı."   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Apache OFBiz’de Kritik Güvenlik Zafiyeti

Apache OFBiz'de kritik bir kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığı, tehdit aktörlerinin veri hırsızlığı, ağdaki çeşitli uygulamalara ve bölümlere yanal hareket etme gibi tehditlere karşı organizasyonları savunmasız bırakabilir. OFBiz müşterilerinin sayısı yaklaşık 170 olup, Atlassian JIRA, Home Depot, United Airlines ve Upwork Global gibi önemli kuruluşları içermektedir. CVE-2024-38856 olarak izlenen bu hata, sömürülmesinin ne kadar etkili olabileceği göz önüne alındığında, 9.8 gibi oldukça yüksek bir CVSS puanına sahiptir. Apache OFBiz, çeşitli iş süreçlerine yüksek ayrıcalıklı erişimi olan, tek bir panel üzerinden yönetim ve otomasyon amacı taşıyan açık kaynaklı bir kurumsal kaynak planlama (ERP) sistemidir; bu süreçler muhasebe, insan kaynakları, müşteri ilişkileri yönetimi, sipariş yönetimi, üretim ve e-ticaret gibi alanları içerebilir. CVE-2024-38856, geçersiz kılma görünümü işlevinde bulunur ve tehdit aktörlerinin özel bir istekle kritik uç noktalara erişmesine izin verebilir. Organizasyonlarını korumak isteyen yöneticilerin, sistemlerini 18.12.15 veya daha yeni bir sürüme yükseltmeleri önerilir.

18 Yıllık  0.0.0.0 Zafiyeti

Bu güvenlik açığını anlamak için tarayıcı güvenliğini ve 0.0.0.0 gibi IP adreslerinin rolünü anlamak önemlidir. Tarayıcılar her zaman bir güvenlik hedefi olmuştur ve sandboxing ve HTTPS-ONLY çerezler gibi yenilikçi güvenlik konseptlerini tanıtmıştır. 0.0.0.0 IP adresi, bir yer tutucu veya varsayılan adres olarak kullanılmak da dahil olmak üzere çeşitli amaçlarla kullanılır. Ancak, IPv4'te bir hedef adres olarak kullanılması yasaktır ve yalnızca belirli koşullar altında bir kaynak adres olarak kullanılmasına izin verilir.   Buna rağmen, 0.0.0.0 çeşitli bağlamlarda, örneğin belirli alan adlarını engellemek için /etc/hosts dosyalarında veya tüm IP'lere izin vermek için ağ politikalarında kullanılmıştır.   Web sitesi kullanıcılarını dijital olarak "parmak izi" ile tanımlamak, geri dönen kullanıcıları tanımlamak gibi çeşitli amaçlar için kullanılan bilinen bir tekniktir. Ancak, tehdit aktörleri bu tekniği kimlik avı kampanyaları için istihbarat toplamak amacıyla da kullanabilirler.   0.0.0.0 güvenlik açığının kullanılması, saldırganların kullanıcıları taraması ve açık portları ve savunmasız hizmetleri tanımlamasıyla sonuçlanabilir.   Google’ın Özel Ağ Erişimi (PNA) girişimi, CORS'u genişleterek web sitelerinin özel ağlardaki sunuculara istek göndermesini kısıtlamayı amaçlıyor. PNA, genel, özel ve yerel ağlar arasında bir ayrım yapmayı ve daha güvenli bağlamlara isteklerin gönderilmesini önlemeyi öneriyor. Oligo Security araştırmacıları, 0.0.0.0'ın özel veya yerel IP segmentleri listesinde yer almadığını keşfetti ve bu, web sitelerinin 0.0.0.0'a istek göndermesine izin veriyordu.   Sorumlu açıklamanın ardından, mevcut PNA uygulamasının bu atlatılması ve tarayıcılardaki doğuştan gelen kusurlar tüm tarayıcılara bildirildi.   Tarayıcı Düzeyinde Çözüm Uygulamaları   Google Chrome (ve Edge gibi Chromium tabanlı tarayıcılar):   Güvenlik Açığı: 0.0.0.0, PNA’yı atlayarak özel IP’lere erişim sağlıyor. Düzeltme Dağıtımı: Chrome 128'den itibaren 0.0.0.0'ın engellenmesi, Chrome 133'te tamamen etkili olacak. İstatistikler: Web sitelerinin %0.015'i (yaklaşık 100K) 0.0.0.0 ile iletişim kuruyor.   Apple Safari: WebKit Değişiklikleri: Artık 0.0.0.0 erişimini engelliyor. Uygulama: Tüm sıfır IP adreslerine yapılan istekler engelleniyor.   Mozilla Firefox: Mevcut Durum: Hemen bir düzeltme yok; PNA başlangıçta uygulanmadı. Özellik Güncellemesi: Fetch spesifikasyonu, 0.0.0.0'ı engelleyecek şekilde güncellendi. Gelecek Planlar: PNA uygulaması sonunda 0.0.0.0'ı engelleyecek.   0.0.0.0 güvenlik açığı, tarayıcı endüstrisinin standardizasyon ve Özel Ağ Erişiminin (PNA) bu standarda göre uygulanması ihtiyacını vurgulamaktadır. PNA tamamen yayılana kadar, kamu web siteleri, yerel ağdaki hizmetlere ulaşmak için Javascript kullanarak HTTP istekleri gönderebilir ve bu durum yetkisiz erişim ve uzaktan kod yürütmeye yol açabilir.

Zero-click Windows TCP/IP RCE Zafiyeti

Microsoft, varsayılan olarak etkinleştirilen IPv6 kullanan tüm Windows sistemlerini etkileyen ve istismar edilme olasılığı yüksek olan kritik bir TCP/IP uzaktan kod yürütme (RCE) güvenlik açığını yamalamaları konusunda müşterilerini uyardı. CVE-2024-38063 olarak izlenen bu güvenlik açığı, saldırganların savunmasız Windows 10, Windows 11 ve Windows Server sistemlerinde rastgele kod yürütmek için kullanabilecekleri tampon taşmalarını tetiklemek amacıyla yararlanabilecekleri bir Tamsayı Alt Taşması zafiyetinden kaynaklanmaktadır. Güvenlik araştırmacısı, " Yerel Windows güvenlik duvarında IPv6'yı engellemenin istismarı engellemeyeceğini, çünkü güvenlik açığının güvenlik duvarı tarafından işlenmeden önce tetiklendiğini” belirtti. Microsoft, Salı günkü danışma belgesinde, kimliği doğrulanmamış saldırganların bu zafiyeti düşük karmaşıklıkta saldırılarda uzaktan istismar edebileceğini ve özel olarak hazırlanmış IPv6 paketlerini içeren paketlerin tekrarlanarak gönderilmesiyle bu hatadan yararlanılabileceğini açıkladı. Microsoft ayrıca bu kritik güvenlik açığı için bir istismar değerlendirmesi paylaştı ve bu açığı "istismar edilme olasılığı daha yüksek" olarak etiketledi, bu da tehdit aktörlerinin hatayı sürekli olarak istismar etmek için istismar kodu oluşturabileceği anlamına geliyor. Microsoft, "Microsoft, bu tür bir güvenlik açığının daha önce istismar edildiğinin farkında. Bu durum, saldırganlar için cazip bir hedef haline getirebilir ve dolayısıyla istismarların oluşturulma olasılığını artırır," diyor.   Bu haftanın Windows güvenlik güncellemelerini hemen yükleyemeyenler için, Microsoft saldırı yüzeyini kaldırmak amacıyla IPv6'yı devre dışı bırakmayı öneriyor.   Ancak, destek web sitesinde şirket, IPv6 ağ protokolü yığınının Windows Vista ve Windows Server 2008 ve daha yeni sürümlerinin "zorunlu bir parçası" olduğunu belirtiyor ve IPv6 veya bileşenlerini devre dışı bırakmayı önermiyor, çünkü bu bazı Windows bileşenlerinin çalışmayı durdurmasına neden olabilir. Microsoft ve diğer şirketler, Windows kullanıcılarını CVE-2024-38063 istismarlarını kullanarak potansiyel saldırıları engellemek için sistemlerini mümkün olan en kısa sürede yamalamaları konusunda uyardı, bu durum IPv6 paketleri kullanılarak istismar edilebilecek ilk Windows güvenlik açığı değildir ve muhtemelen son da olmayacaktır. Son dört yıl içinde Microsoft, kötü niyetli ICMPv6 Yönlendirici Reklam paketleri kullanılarak uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) saldırılarında kullanılabilecek iki TCP/IP hatası da dahil olmak üzere, birkaç IPv6 sorununu yamaladı (CVE-2020-16898/9, Ping of Death olarak da adlandırılır). Ek olarak, bir IPv6 parçalama hatası (CVE-2021-24086) tüm Windows sürümlerini DoS saldırılarına karşı savunmasız bıraktı ve bir DHCPv6 hatası (CVE-2023-28231) özel olarak hazırlanmış bir çağrı ile RCE elde edilmesini mümkün kıldı. Saldırganlar henüz IPv6 etkin tüm Windows cihazlarını hedef alan yaygın saldırılarda bu hatalardan yararlanmamış olsalar da, kullanıcıların CVE-2024-38063'ün artan istismar olasılığı nedeniyle bu ayki Windows güvenlik güncellemelerini derhal uygulamaları önerilmektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2023

 

Bültenimizin Mayıs Ayı konu başlıkları;  VMware'de Kritik Zafiyetler Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı 2023'ün İlk Çeyrek Fidye Yazılımı Trendleri! Cisco'da Kritik Zafiyetler Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

VMware'de Kritik Zafiyetler

VMware, Workstation ve Fusion zafiyetleri için güvenlik yaması yayınladı. Tespit edilen zafiyetler Workstation ve Fusion için uzaktan kod yürütmeye ve yetki yükseltmeye olanak sağlamaktadır.   Zafiyetler;    CVE-2023-20869; Bluetooth cihaz paylaşım işlevindeki arabellek taşması ve sanal makinenin VMX istismar edilerek kod yürütülmesi zafiyetidir. CVE-2023-20870; Hipervisor belleğinde bulunan kritik verilerinin okunması zafiyetidir.   CVE-2023-20871; VMware Fusion Raw Disk, yerel ayrıcalık yükseltme zafiyetidir.   CVE-2023-20872; SCSI CD/DVD üzerinden veri okunması veya sistemde hipervisorde kod yürütme zafiyetidir.   Güvenlik açıkları, VMware Workstation Pro v17.x ve VMware Fusion v13.x'i etkilemektedir.   Güncelleme yapılan sürümler; VMware Workstation Pro 17.0.2 VMware Fusion 13.0.2 Öneriler; CVE-2023-20869 ve CVE-2023-20870 için sanal makinede Bluetooth desteğini kapatabilirsiniz. CVE-2023-20872 için CD/DVD cihazını sanal makineden çıkarabilir veya VM'i SCSI denetleyicisini kullanmayacak şekilde yapılandırabilirsiniz.

Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı

Zyxel, belirli firewall ve VPN ürünlerini etkileyen uzaktan kod yürütmeye imkan sağlayan iki kritik güvenlik açığı için yama yayınladı. Zafiyetler CVE-2023-33009 ve CVE-2023-33010 referans numaraları ile takip edilebilir.      Etkilenen Cihazlar; ATP (ZLD V4.32'den V5.36 Yama 1'e kadar olan sürümler) USG FLEX (ZLD V4.50 - V5.36 Yama 1 sürümleri) USG FLEX50(W) / USG20(W)-VPN (ZLD V4.25 - V5.36 Yama 1 sürümleri) VPN (ZLD V4.30 ila V5.36 Yama 1 sürümleri) ZyWALL/USG (ZLD V4.25 - V4.73 Yama 1 sürümleri) Geçtiğimiz aylarda çıkan CVE-2023-28771 zafiyeti, aktif olarak Mirai Botnet tarafından sömürülmektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023'ün İlk Çeyrek Fidye Yazılımı Trendleri

Fidye Yazılımı (Ransomware) saldırıları ön plana çıkmaya devam ediyor. Saldırganlar, kar elde etmek için sağlık, eğitim kurumları, hizmet sağlayıcıları, endüstriyel işletmelere kadar her sektörde karşımıza çıkıyor. 2022 yılındaki saldırılarda 2021 yılına oranla %20 artış söz konusu, 2023 yılının ilk çeyreğinde önceki yılların ilk çeyreğine göre de bir artış görülmüştür, ayrıca bunlara ek olarak başarı oranları, saldırıların daha karmaşık hale gelmesi ve daha iyi hedeflenmiş olmasından dolayı oldukça artmıştır. Fidye yazılımlarını artık Windows dışında, Linux ve macOS işletim sistemlerinde de aktif olarak görmeye başladık. Yapılan araştırmalara göre saldırıların %42.9'u yamalanmamış sistemlere gerçekleşirken, geri kalanı ise dışarıya açık uygulama zafiyetleri, oltalama saldırıları, güvenliği ihlal edilmiş hesaplardan oluşmaktadır.    İlk çeyrekte öne çıkanlar; Fidye yazılımı grupları; LockBit3.0, Clop, ALPHV, Royal, Vice Society ve Black Basta'dır. Hedeflenen sektörler; Üretici İşletmeler, Perakende, İnşaat, Eğitim, Ulaşım, Yazılım, Finans ve Sağlıktır.  Hedeflenen ülkeler; Amerika, İngiltere, Kanada, Almanya, Fransa, Avustralya, Hindistan, İtalya, Brezilya ve İspanya'dır. İlk çeyrekte yeni 100'den fazla grup ortaya çıktı. Bu gruplar arasında hareketliliği dikkat çekenler; Medusa Ransomware ve Nevada/ESXi'dir.  Daha önce kapatılan gruplarında değişiklik yaparak geri döneceği konuşulmakta, bunlarda en bilineni ise Hive grubudur.

Cisco'da Kritik Zafiyetler

Cisco, Small Business serisi switchlerde 4 kritik zafiyet için yama yayınladı. Bu zafiyetler, yönetim web arayüzlerindeki açıklıktan dolayı uzaktan kod çalıştırmaya imkan sağlamaktadır.    Cisco zafiyetler için acil güncelleme çağrısı yaptı ve güncelleme yapmanın dışında herhangi bir çözüm önerisi sunmadı. 4 kritik güvenlik açığı  CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, ve CVE-2023-20189 referans numaraları ile takip edilebilir. Web arayüzdeki zafiyeti istismar eden bir saldırganın cihazda root yetkileri ile kod çalıştırabileceği belirtildi.    Etkilenen sistemleri aşağıdaki gibidir; 250 Series Smart Switches 350 Series Managed Switches 350X Series Stackable Managed Switches 550X Series Stackable Managed Switches Business 250 Series Smart Switches Business 350 Series Managed Switches Small Business 200 Series Smart Switches Small Business 300 Series Managed Switches Small Business 500 Series Stackable Managed Switches

Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

İllegal bir siber saldırı grubu olan Lemon Group, son 5 yılda yaklaşık 50 telefon firmasında 9 milyon Android cihaza Guerilla zararlı yazılımını yerleştirerek kötü amaçlı faaliyetler gerçekleştirdi.     Saldırgan grup genel olarak bu zararlıyı ek yazılım yüklemek, tek kullanımlık giriş/doğrulama SMS'lerini ele geçirmek, reverse proxy yapmak, WhatsApp oturumlarını ele geçirmek gibi kritik amaçlar için kullanıyor.     Guerilla zararlı yazılımı genel olarak aşağıdaki özellikleri içermektedir; SMS yoluyla alınan tek seferlik şifreleri ele geçirmek Kurban telefon trafiğini reverse proxy ile kullanmak Facebook gibi sosyal medya çerezlerini sızdırmak ve WhatsApp oturumlarını ele geçirmek Normal uygulamalar üzerinde reklam göstermek Uzak C2 sunucusu üzerinden ek APK yüklemek ve mevcut uygulamaları kaldırmak 180'den fazla ülkede 9 milyon cihaza bulaşmış olan zararlı yazılım ağırlıklı olarak Güneydoğu Asya ve Doğu Avrupa'da faaliyet göstermektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Ağustos 2021

Bültenimizin Ağustos ayına ait başlıkları;  GIGABYTE Fidye Saldırısına Uğradı T-Mobile'da Müşteri Veri İhlali ABD Terör Listesi Açığa Çıktı. F5 Cihazlarında Kritik Zafiyetler

GIGABYTE Fidye Saldırısına Uğradı

GIGABYTE'a ransomware saldırısı gerçekleştirildi. Bilgisayar donanım üretim (ana kart ve grafik kartı) liderlerinden olan GIGABYTE, geçtiğimiz günlerde çevrim içi servislerinin hizmet vermemesinin sebebinin fidye saldırılarından kaynaklı olduğunu açıkladı. Satış ve operasyon tarafında herhangi bir risk teşkil etmediğini açıklamalarına rağmen bazı sunucuları kapatmak zorunda kaldılar. GIGABYTE daha fazla detay vermedi fakat saldırgan grup, hacking forumlarında RansomEXX fidye zararlısına uğradıklarını belirtti. Ayrıca saldırgan grup kurumdan 112 GB veri çaldığını ve çalınan verilerin içerisinde Intel, AMD, American Megatrends ile yapılan NDA (Gizlilik Sözleşmesi) dosyalarının olduğunu ve gerekli ödemenin yapılmaması durumunda ifşa edeceğini açıkladı. Ne kadarlık bir fidye talebi olduğu henüz netleşmiş değil. RansomEXX fidye grubu daha öncede dünyaca ünlü Italya Lazio bölgesi sistemleri (Covid 19 aşı kampanyalarını etkiledi), Konico Minolta, Tyler Technologies, Brezilya Mahkeme Sistemleri ve CNT gibi kuruluşları da hedef almış ve başarılı olmuştu.

T-Mobile'da Müşteri Veri İhlali

T-Mobile'a siber saldırı sonucu 40 milyondan fazla müşteri kayıtlarına erişim sağlandı. T-Mobile'ın 40 milyondan fazla müşteri verisi açığa çıktı. Veri ihlali, bilgilerin bir hacking formu üzerinde satışa çıkarılmasıyla tespit edildi ve T-Mobile tarafından inceleme başlatıldı. Yapılan incelemelerde çalınan verilerin kullanıcı adları, sosyal güvenlik numaraları, doğum tarihleri ve ehliyet bilgilerinden oluştuğu tespit edildi. Tespitlerin ardından T-Mobile ekibi otomatik aramayla müşterilerinin PIN'lerini değiştirmesi talebinde bulundu. Saldırının çok karmaşık şekilde olduğu bilgisi paylaşıldı. Twitter üzerinden açıklama yapan bir şahsın, 100 milyondan fazla veriyi elinde tuttuğu ve bu verilerin 1990lı yılların ortalarından itibaren kayıtları içerdiğini ifade etti. T-Mobile ayrıca bu durumdan etkilenen tüm müşterilerine 2 yıllık kimlik hırsızlığı koruma hizmeti sunacağını açıkladı, bu hizmetlerin hali hazırda tüm müşterilere ücretsiz sunulmaması ise günümüzde siber saldırıların geldiği noktada, gerçekten anlaşılması çok güç bir durum.

ABD Terör Listesi Açığa Çıktı.

Sunucu yapılandırma hatası, FBI'ın gizli terörist izleme listesini açığa çıkardı Yapılandırma hataları, kuruluşları zora sokmaya devam ediyor. Verinin dijitalleşmeye doğru evrilmesi her geçen gün riskleri de beraberinde getiriyor. FBI'ın özel ve gizli olarak tuttuğu şüpheli terörist listesi, Elasticsearch sunucusunun yanlış yapılandırması sonucu ifşa oldu ve bu veriler ile alakalı gerekli düzeltmeler ancak ifşadan 3 hafta sonra yapıldı. Veriler bir güvenlik uzmanı tarafından 19 Temmuz'da tespit edilip, gerekli kurumlara bilgi verildi ve verinin güvenli bir alana tamamiyle alması ise 9 Ağustos'u buldu. Sızan veriler arasında yaklaşık 1.9 milyon veri bulunmaktadır, bunların arasında; ad soyad, doğum tarihi, uyruğu ve vatandaşlık bilgileri, cinsiyeti, doğum tarihi, pasaport numarası vb. bilgiler yer almaktadır. Bu sızan bilgiler ile, listede yer alan kişiler ve ailelerine karşı baskı oluşturulabilir ve insanlar dolandırılabilir. FBI, ABD üzerinde ilk veri ihlali yaşayan kurum değil, 2017 yılında ABD Savunma Bakanlığı'nın da AWS S3 servisini yanlış yapılandırmasından dolayı dosyaları ifşa olmuştu. Bulut sistem ile birlikte birçok kurum güvenlik dahil her türlü kontrol ve yürütmenin bulut sistemi şirketlerinde olduğu algısına kapılıyor, bu yüzden bulut sistemi kiralayan şirketler sizlere sadece bulut üzerindeki alanı verirler ve burada yapılacak konfigürasyonlar ve güvenlik denetimleri tamamen sizlere aittir. Bulut geçişleri sonrasında maalesef birçok şirketin verileri, yeterli kontrollü geçiş veya dış denetim ekibi olmamasından kaynaklı olarak açığa çıkıyor, bu yüzden bulut geçişleri sonrasında muhakkak güvenlik testlerinizi, dış denetimlerinizi yaptırın.

F5 Cihazlarında Kritik Zafiyetler

Kurumsal güvenlik ve ağ ürünleri şirketi F5 üzerinde kritik zafiyetler tespit edildi. F5 BIG-IP ve BIG-IQ cihazlarının birden fazla versiyonunda 29 zafiyet tespit edildi ve bu zafiyetlerin 13 tanesi yüksek seviye, 15 tanesi orta seviye ve 1 tane düşük seviyeden oluşmaktadır. Bu zafiyetleri kullanan kimliği doğrulanmış kullanıcı sistemde kod yürütme, dosya oluşturma ve silme, cihazları pasif hale getirme gibi imkanlara sahip olabiliyor ve bu zafiyetler sistemlerin güvenliklerinin tamamen aşılmasına sebep olabiliyor. Bu ürünleri kullanan kuruluşların güvenilir olmayan kullanıcı erişimlerini tamamen kaldırması gerekiyor. F5 ürünlerinde çıkan bu zafiyetler sonrasında, saldırganlar tarafından hedeflendiği görülmüştür, kullanan kuruluşların güncellemeleri hızlıca yapması ve güncellemesi olmayan sistemlerde ise kullanıcı yetkilerini kontrol etmesi gerekmektedir. F5 tarafından çözüm getirilmiş olan güvenlik açıklarının listesi aşağıdadır; CVE-2021-23025 (CVSS score: 7.2) CVE-2021-23026 (CVSS score: 7.5) CVE-2021-23027 ve CVE-2021-23037 CVE-2021-23028 (CVSS score: 7.5) CVE-2021-23029 (CVSS score: 7.5) CVE-2021-23030 ve CVE-2021-23033 CVE-2021-23032 (CVSS score: 7.5) CVE-2021-23034, CVE-2021-23035, ve CVE-2021-23036 (CVSS score: 7.5)