Siber Güvenlik Bülteni - Haziran 2023

 

Bültenimizin Haziran Ayı konu başlıkları;  Barracuda'da Sıfırıncı Gün Zafiyeti Fortinet'te Kritik Zafiyetler RDP'ye Saldırılar Durmuyor Chrome'da Kritik Zafiyetler Asus Wifi Router için Kritik 9 Zafiyet

Barracuda'da Sıfırıncı Gün Zafiyeti

Barracuda'da tespit edilen CVE-2023-2868 referans numaralı zafiyetin Ekim 2022'den beri zararlı yazılım yayma ve veri ihlallerinde kullanıldığı tespit edildi. CVE-2023-2868 referans numarası ile takip edilen sıfırıncı gün açığı uzaktan komut çalıştırmaya imkan sağlamakta ve Email Security Gateway (ESG) cihazlarını etkilemektedir. ESG cihazlarının 5.1.3.001 ile 9.2.0.006 sürümleri etkilenmektedir. Yapılan analizlerde Barracuda cihazlarında üç farklı zararlı yazılım tespit edildi. Saltwater; Barracuda SMTP üzerinde çalışan bir modül olarak tasarlanmış ve uzaktan dosya yükleme veya indirme, komut yürütme ve proxy veya tünel oluşturma amaçlı kullanılmaktadır. Seaspy; meşru bir Barracuda hizmeti olarak görünür, trafiği izler ve arka kapı işlevi sağlar. Seaside; Barracuda SMTP servisini hedefler, reverse oluşturarak C&C (komut ve kontrol) bağlantısı sağlar. Barracuda her ne kadar zafiyet ile ilgili bir yama yayınlasa da, cihazların güncel olduğundan emin olunmasını ve güvenliği ihmal edilmiş cihazları kullanmayı bırakmalarını tavsiye etti. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

Fortinet'te Kritik Zafiyetler

Fortinet'in son yıllarda hızla artan zafiyetlerine yenileri eklenmeye devam ediyor. Yeni zafiyetlerde de kimliği doğrulanmamış kullanıcının uzaktan kod çalıştırmasına olanak sağladığı doğrulanmıştır.  FortiOS tarafında tespit edilen zafiyet,  CVE-2023-27997 referans numarası ile takip edilebilir, uzaktan kimliği doğrulanmamış bir saldırgan tarafından kod çalıştırmaya olanak sağlamaktadır. Zafiyet ile SSL-VPN ön kimlik doğrulamasında yığın bellek taşması yaratarak sisteme sızmaya imkan sağlamaktadır. Fortinet SSL VPN kullanan tüm müşterilerinin hızlıca yamaları yapmasını öneriyor, SSL VPN kullanmayan müşterilerinin ise riskinin azaldığını belirtmekte fakat onlarında yamalarını yapmalarını önermektedir. FortiNAC tarafında tespit edilen zafiyet,  CVE-2023-33299 referans numarası ile takip edilebilir, kimliği doğrulanmamış bir kullanıcının TCP 1050 hizmetine yönelik özel olarak tasarlanmış istekler ile yetkisiz kod çalıştırmasına imkan sağlamaktadır. 7.2.0'dan 9.4.2'ye kadar olanlar da dahil olmak üzere birçok FortiNAC sürümü, bu uzaktan kod yürütme güvenlik açığından etkilenmektedir. Fortinet hızlıca bu yamaların yapılmasını önermektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

RDP'ye Saldırılar Durmuyor

Uzak masaüstü bağlantıları her ne kadar kurumlar için hızlı ve kolay çözüm olarak görülse de, saldırganları çekme konusunda da adeta bir mıknatıs görevi görmektedir. Dışarı açık olan bir RDP günde ortalama 37.000'den fazla bağlantı talebi almaktadır. Bunların çoğunluğu otomatik botlar tarafından gerçekleştirilmektedir fakat doğru bir bağlantı tespitinde de direkt saldırganın manuel uğraşları devreye girmektedir. Bir araştırma grubu tarafından kurulan RDP bal küpü (honeypot) ağında 3 aylık bir dönemde yaklaşık 3.5 milyon oturum açma talebi geldi, 1 yıl içerisinde ise 13 milyondan fazla oturum açma talebi geldi. Bu saldırılarda gelen talepler ağırlıklı olarak Rusya ve Çin IPlerinden oluşmaktadır.  Gerçekleştirilen oturum açma taleplerinde kullanılan Administrator, ADMIN, ADMINISTRATOR, Admin, administrator gibi standart kullanıcı adları dışında, RDP honeypotlara verilen isimlere özgü kullanıcı adlarının da oluşturulup denendiği ortaya çıktı.  Dışarı açık olan servislerin her zaman risk içerdiğini ve servisin dışarı açıldığı an itibariyle hedef haline geldiğini net olarak görebiliyoruz, bu yüzden dışarı açık olan servisleri korumak için yeni çözümümüz TINA ISOLATOR'ü öneriyoruz, detaylı bilgi için bize ulaşabilirsiniz

Chrome'da Kritik Zafiyetler

Google, meşhur web tarayıcısı Chrome için acil yama yayınladı. CVE-2023-3079 referans kodu ile takip edilen güvenlik açığı, V8 JavaScript motorunda bir tür karışıklık hatası olarak tanımlandı. NIST'in Ulusal Güvenlik Açığı Veritabanına göre; 114.0.5735.110'dan önceki Google Chrome'daki V8'deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak yığın bozulmasından yararlanmasına izin vermektedir. Google saldırının detaylarını açıklamadı fakat hali hazırda zafiyetin kullanıldığını belirtti.  Yılbaşından bu yana Chrome üzerinde 3 farklı sıfır gün zafiyeti tespit edildi; CVE-2023-2033 V8'de Tür Karışıklığı ve CVE-2023-2136 Skia'da tamsayı taşması. Kullanıcıların olası tehditleri azaltmak için, Windows için 114.0.5735.110 ve macOS ve Linux için 114.0.5735.106 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeleri kullanıma sunulduğunda, acilen yamaları uygulamaları önerilmektedir.

Asus Wifi Router için Kritik 9 Zafiyet

Tayvanlı bilgisayar donanımı üreticisi Asus, WiFi yönlendirici ürün serilerindeki güvenlik açıklarını gidermek için acil yazılım güncellemeleri gönderdi ve kullanıcıları uzaktan kod yürütme saldırıları riskine karşı uyardı. Asus; kod yürütme, hizmet reddi, bilgi ifşası ve kimlik doğrulama baypaslarına izin veren içerisinde 2018’den beri sömürüldüğü anlaşılan 9 güvenlik açığını yamaladı. Etkilenen ürünler;   GT6/GT-AXE16000/GT-AX11000 PRO/GT-AXE11000/GT-AX6000/GT-AX11000/GS-AX5400/GS-AX3000/XT9/XT8/XT8 V2/RT-AX86U PRO/RT-AX86U/RT-AX86S/RT-AX82U/RT-AX58U/RT-AX3000/TUF-AX6000/TUF-AX5400. Ayrıca güncelleme yapmayan müşterileri içinde "olası istenmeyen izinsiz girişleri önlemek için WAN tarafından erişilebilen hizmetleri devre dışı bırakmanızı kesinlikle öneririz." açıklamasında bulundu ek olarak "Yönlendiricinizi en son üretici yazılımına güncelleyin. Yeni üretici yazılımı çıkar çıkmaz bunu yapmanızı şiddetle tavsiye ediyoruz" diyen şirket, kullanıcıların kablosuz ağ ve yönlendirici yönetim sayfaları için ayrı parolalar ayarlaması gerektiğini de sözlerine ekledi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz

Siber Güvenlik Bülteni - Şubat 2023

 

Bültenimizin Şubat Ayı konu başlıkları;  FortiNAC ve FortiWeb Güncellemeleri Carbon Black App Control Kritik Zafiyeti GoDaddy Güvenlik İhlali GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

FortiNAC ve FortiWeb Güncellemeleri

Siber güvenlik çözümleri şirketi Fortinet, FortiNAC ve FortiWeb ürünleri için kimliği doğrulanmamış saldırganların; kullanıcı adı veya parola gereği olmaksızın, uzaktan kod çalıştırmasına izin veren iki önemli zafiyet için güvenlik güncellemeleri yayınladı. FortiNAC ürününü etkileyen zafiyet CVE-2022-39952 referans numarası ile takip edilebilir, etkilenen ürün sürümleri; FortiNAC 9.4.0 sürümü FortiNAC 9.2.0 ila 9.2.5 sürümleri FortiNAC 9.1.0 ila 9.1.7 sürümleri FortiNAC 8.8 tüm sürümler FortiNAC 8.7 tüm sürümler FortiNAC 8.6 tüm sürümler FortiNAC 8.5 tüm sürümler FortiNAC 8.3 tüm sürümler FortiNAC 9.4.1 ve üzeri, 9.2.6 ve üzeri, 9.1.8 ve üzeri ve 7.2.0 ve üzeri sürümlerde düzeltildiği belirtilmiştir. FortiWeb ürününü etkileyen zafiyet CVE-2021-42756 referans numarası ile takip edilebilir, etkilenen ürün sürümleri; FortiWeb 5.x tüm sürümleri FortiWeb 6.0.7 ve altı sürümler FortiWeb 6.1.2 ve altı sürümler FortiWeb 6.2.6 ve altı sürümler FortiWeb 6.3.16 ve altı sürümler FortiWeb 6.4 tüm sürümleri FortiWeb 7.0.0 veya sonraki sürümlerine, 6.3.17 veya sonraki sürümlerine, 6.2.7 veya sonraki sürümlerine, 6.1.3 veya sonraki sürümlerine ve 6.0.8 veya sonraki sürümlerine yükseltilmesi gerekliliği belirtilmiştir. Zafiyetler ile alakalı gerekli güncellemeler dışında, geçici herhangi bir öneri bulunmamaktadır, hızlıca güncellemeler planlanıp, uygulanmalıdır. FortiWeb'i etkileyen zafiyetin referans numarasından anlaşıldığı üzere 2021 yılında çıkan zafiyet henüz kapatılabilmiştir, bu süre zarfında olağan ihlaller göz önünde bulundurulmalıdır.

Carbon Black App Control Kritik Zafiyeti

VMware, Carbon Black App Control Windows versiyonlarının çeşitli sürümlerini etkileyen kritik bir zafiyet için güncelleme yayınladı. Şirket bu zafiyetin temel işletim sistemine erişim elde etmek için kullanılabileceği konusunda uyardı. Carbon Black App Control, şirketlerin uç noktalarının yalnızca güvenilir ve onaylanmış yazılımları kullanmalarına imkan sağlayan bir üründür. CVE-2023-20858 referans numarası ile takip edilen zafiyet, App Control yönetim konsoluna ayrıcalıklı erişimi olan bir saldırganın, özel hazırlanmış girdi ile işletim sistemine erişmesine izin vermektedir. Bu sayede uç sistemlerin ve zafiyetli tüm istemcilerin tamamen ele geçirmesine yol açabilir. CVE-2023-20858 zafiyetinden etkilenen sürümler; 8.7.x 8.8.x 8.9.x Carbon Black App Control 8.9.4, 8.8.6 ve 8.7.8 sürümlerine yükseltilmesi gerekir.(https://www.vmware.com/security/advisories/VMSA-2023-0004.html) Üretici şirket, dolaylı bir çözüm veya kaçınma tavsiyesi vermemiştir, tek çözüm olarak güncellemelerin hızlıca planlanıp uygulanması gerekmektedir.

GoDaddy Güvenlik İhlali

Web hosting sağlayıcısı GoDaddy, kaynağı belli olmayan uzun süreli bir saldırı aldığını, bu saldırıda kaynak kodlarının çalındığını ve sunucularına zararlı yazılım yüklendiği bir ihlale maruz kaldığını belirtti. GoDaddy saldırıları ilk olarak Aralık 2022'de bazı müşteri sitelerinin rastgele alanadlarına yönlendirilmek için kullanıldığını fark etti, fakat daha sonra saldırganların şirket ağına birkaç yıl boyunca izinsiz erişim sağladıkları anlaşıldı. Şirket, daha önce Kasım 2021 ve Mart 2020'de açıkladığı ihlallerin de bu saldırı ile bağlantılı olduğunu belirtiyor. Kasım 2021'de saldırganlar güvenliği ihlal edilmiş bir parola ile GoDaddy'nin Wordpress hosting ihlali sonrasında 1.2 milyon Wordpress müşterisi etkilenmişti. Mart 2020'de ise saldırganların web hosting kimlik bilgilerini SSH yoluyla hosting hesaplarına bağlanmak için kullandığı konusunda 28.000 müşterisini uyarmıştı. Şirket, yaptığı araştırmalarda saldıran grubun farklı hosting firmalarını da hedeflediği konusunda uyarıda bulundu. Saldırganların bu ihlal ile amaçlarının kimlik avı kampanyaları, zararlı yazılım dağıtımı ve illegal faaliyetler için sunuculara ve web sitelerine zararlı yazılım bulaştırmak olduğu düşünülüyor.

GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

ABD'deki en büyük hastane zincirlerinden birisi, siber saldırganların GoAnyWhere MFT yazılımındaki bir güvenlik açığından faydalanarak 1 Milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi.  GoAnyWhere MFT, yönetilebilir dosya transfer ürünüdür. Güvenlik zafiyeti CVE-2023-0669 referans numarası ile takip edilebilir. Üretici, ürünün normal şartlarda dışarıdan erişime kapalı olması gerektiği ve zafiyetten etkilenenlerin ürün yönetim konsolunu dışarı açtıkları için ihlal yaşadıklarını belirtiyor.  Clop fidye zararlı yazılım grubu ise, bu zafiyetten faydalanarak 130'dan fazla şirketten verilerini çaldıklarını iddia ediyor. Hızlıca yapılan bir tarama ile 136 şirketin ürününe dışarıdan erişimin açık olduğu görülüyor. CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) ise ABD federal kurumlarına 3 Mart'a kadar yama yapmaları konusunda emir verdi.