fortinet zafiyet etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
fortinet zafiyet etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Kasım 2024

Siber Güvenlik Bülteni - Ekim 2024

 

Bültenimizin Ekim Ayı konu başlıkları; 
    • Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti
    • Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı
    • Palo Alto Networks, PAN-OS Zafiyeti
    • Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 
    • 1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

    Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti.

    FortiManager Güvenlik Zafiyeti Hakkında

    FortiManager, Fortinet’in FortiGate
     güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır.

    Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı.

    CVE-2024-47575 Açığı

    Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi.

    Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı.

    Yeni Tehdit Kümesi UNC5820

    Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir.

    Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır.

    FortiJump: Devlet Destekli Casusluk İddiaları

    Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür.

    FortiManager Güvenlik Açığının Yaygınlığı

    Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor.

    İhlal Göstergeleri ve Güvenlik Önerileri

    CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor.

    Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

    CiscoNisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir.

    Güvenlik açığı hakkında:

    Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir.

    Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı:
    • Cisco Secure Firewall VPN
    • Checkpoint VPN
    • Fortinet VPN
    • SonicWall VPN
    • RD Web Services
    • Miktrotik
    • Draytek
    • Ubiquiti
    Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir.

    Güvenlik açığının tespiti ve giderilmesi:

    Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir:

    firewall# show running-config webvpn | include ^ enable

    Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir.

    Diğer Cisco Güvenlik Açıkları

    Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir.

    Özet:
    • CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3)

    Ek Bilgiler ve Önerilen Çözümler:

    CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır.

    CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir:

    no ssh stack ciscossh

    Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir.

    CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır.

    CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir:

    zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*

    Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.

    CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

    Palo Alto Networks, PAN-OS Zafiyeti

    Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi.

    Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti.

    Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS)hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır:
    • CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı
    • CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı
    • CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı
    • CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri
    • CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı

    PoC’de Açık İstismar Edildi

    Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı.

    Güncellemeler ve Alınması Gereken Önlemler

    Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor.

    Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır.

    Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.
     

    Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 

    Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor.
    Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:
     
    • MySQL
    • Fusion Middleware
    • Database
    • Enterprise Manager
    • Tedarik Zinciri Ürünleri
    • Finansal Hizmet Uygulamaları
    • İletişim Uygulamaları
    • Perakende Uygulamaları
    • Kamu Hizmetleri Uygulamaları
    • PeopleSoft
    • Siebel
    Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları

    334 güvenlik yamasından 61’ikimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:
     
    • Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    Oracle'ın amiral gemisi olan Oracle Database6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.
     
    Oracle’dan Acil Güncelleme Tavsiyesi

    Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.
     
    Güncelleme Süreci İçin İpuçları

    Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir:
    1. Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin.
    2. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın.
    3. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın.
    4. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun.
    Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

    1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.
     
    Yeni Fidye Yazılımı Gruplarındaki Artış

    Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:
     
    • LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu.
    • PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı.
    • RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi.
    BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.
     
    Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler

    Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor.

    Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.
     
    Devlet Destekli Siber Faaliyetlerin Analizi

    Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:
     
    • Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor.
    • Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda.
    • İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor.
    • Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.
     
    Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.
     

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    29 Nisan 2024

    Siber Güvenlik Bülteni - Nisan 2024

     

    Bültenimizin Nisan Ayı konu başlıkları; 
      • Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız  
      • Palo Alto, PAN-OS Zafiyeti
      • Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor
      • Putty Zafiyeti
      • Ivanti MDM Kritik Zafiyet
      • Cisco Duo SMS ve VoIP Sızıntısı

      Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız

      Oldukça uzun dönem boyunca varlığı fark edilmeyen ve açık kalan bir çok zafiyeti dünyanın önde gelen markalarında, kabul edilebilecek seviyelerin oldukça üzerinde, şaşırtıcı düzeydeki bir sıklıkta gözlemlemekteyiz.

      Bu durum, marka büyüklüğü ile aynı oranda markaya karşı hissedilen güven duygusunun gözden geçirilmesi gerekliliğini hatırlatmakta.


      Çeşitli büyük ve bilindik markaları etkileyen sıfır gün açıklarının aktif olarak kullanıldığı ve bu şekilde uzunca dönem boyunca hedeflere sızma ve kalıcı erişim için gizli arka kapılar kurma girişimlerinin başarılı olduğu, sonuçlarıyla ortaya çıktığı gözlemleniyor.

      Markalarca üretilen güvenlik çözümlerinin, güvenlik camiasınca basit düzeyde olduğu gözlemlenen şaşırtıcı hataları, potansiyel riskleri arttırmakla kalmıyor, aynı zamanda dış ağ ile iç ağ arasındaki ayrımını belirsizleştiriyor, böylece kurumları büyük saldırılara karşı korumak yerine açık bir hedef haline getiriyor.

      Kullanılan çözüm sayısının artması, IT yöneticilerine satın alma ve kullanım aşamasında ek yük getirdiğinden farklı markalı ürünlerden uzak durulmasına, hatta kontrolün kolay olmasından dolayı "uçtan uca" aynı ürün kullanımına yol açtı. Ancak içeriye sızan bir saldırganın da aynı ürün açıklıkları veya erişim kolaylıkları ile "uçtan uca" ilerleme fırsatıyla baş başa kaldığını unutmamamız gerekiyor.

      Sistemlerde ortaya çıkan yetkisiz erişimlerin, bilgi çalınmalarının veya sistemlerin zarar görmesi olaylarının, IT yöneticisinin gündelik iş yoğunluklarını ve bütçe harcamalarını çok daha katlanılmaz hale getirdiğini ve işletmeyi daha çok yorduğunu söyleyebiliriz.

      Ortaya çıkan bu durumlara karşı atılabilecek en önemli adım; çözüm gamında farklı teknolojiler kullanılması ve farklı markalar ile çalışılması, yani kısacası önlemlerin çeşitlendirmesidir.
       

      Sunucu ve servislerinize İnternet üzerinden kısıtlı ve kontrollü erişimini sağlayan yeni güvenlik katmanı TINA ISOLATOR 'ü ücretsiz deneyebileceğinizi hatırlatırız. Yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Palo Alto, PAN-OS Zafiyeti

      Palo Alto Networks, 26 Mart'tan beri etkin olarak kötüye kullanılan bir sıfır gün açığı için düzeltmeler yayınlamaya başladı. Bu kritik güvenlik açığı (CVE-2024-3400), cihaz telemetriği ve GlobalProtect (gateway veya portal) etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 duvarlarını etkiliyor.

      Kimliği doğrulama aşaması öncesinde; saldırganlar kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarda, uzaktan kod çalıştırabilmek için bu zafiyeti kullanabilirler.

      Şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınladığı düzeltmelerle güvenlik açığını düzeltti. Daha sonraki PAN-OS sürümleri için daha fazla düzeltme yakında yayınlanacak.

      Palo Alto Networks'un aktif kötüye kullanım uyarısı, bu sıfır gün açığını keşfeden ve tehdit aktörlerinin Upstyle kötü amaçlı yazılımını kullanarak PAN-OS cihazlarına arka kapı bırakarak ağlara sızdığı ve veri çaldığını tespit eden güvenlik firması Volexity tarafından doğrulandı.

      Siber güvenlik araştırmacıları, CVE-2024-3400 saldırılarına karşı ilk belirlemelere göre savunmasız olan çevrimiçi 82.000'den fazla PAN-OS cihazı bulduğunu belirtti. CISA, CVE-2024-3400'ü Bilinen Sömürülen Güvenlik Açıklıkları (KEV) kataloğuna ekledi ve federal ajanslara tehdit önleme kuralını uygulayarak veya 19 Nisan'da bir hafta içinde telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını tavsiye etti.


      Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor

      Şu anda hacker'lar 3.000'den fazla Fortinet SSL-VPN cihazına yönetici erişimi sunuyorlar. Bu ihlal, uzaktan erişim için bu cihazlara güvenen birçok kuruluşun güvenliğine ciddi bir tehdit oluşturuyor.

      Bir X hesabından atılan bir tweet, kimliği belirsiz bir hacker grubunun Fortinet SSL-VPN cihazlarındaki güvenlik açıklarını sömürmeyi başardığını gösteriyor. İşletmeler, bu cihazları uzaktan çalışan personelinin kurumsal ağlara güvenli erişimini sağlamak için yaygın olarak kullanıyorlar.

      Bu ihlal, yetkisiz erişime ve hassas kurumsal verilerin ve iç ağların erişilmesine izin verebilir.

      Potansiyel Etki
      Bu cihazlara yönetici erişiminin satılması, veri hırsızlığı, fidye yazılımı saldırıları ve diğer kötü niyetli faaliyetler gibi ciddi sonuçlara yol açabilir.

      Bu ihlalden etkilenen kuruluşlar, bu ihlal doğru bir şekilde yönetilmezse sadece operasyonel ve finansal verilerini kaybetmekle kalmayacak, aynı zamanda ciddi bir itibar kaybıyla karşı karşıya kalabilirler.

      Fortinet henüz bu belirli olaya resmi bir yanıt vermedi. Ancak, şirket ürünlerindeki güvenlik açıklarını hızlı bir şekilde yamalar ve güncellemeler aracılığıyla çözmeye çalışmaktadır.

      Fortinet SSL-VPN cihazlarını kullanan kullanıcılar, şirketten gelen güncellemelere dikkat etmeleri ve güvenlik yamalarını hemen uygulamaları konusunda uyarılıyor.

      Güvenlik Önerileri
      Siber güvenlik uzmanları, Fortinet SSL-VPN cihazlarını kullanan kuruluşlar için şu adımları önermektedir:
      • Hemen Denetim Yapın: Tüm Fortinet SSL-VPN cihazları için derhal bir güvenlik denetimi yapın.
      • Yamaları Uygulayın: Tüm cihazların Fortinet'in en son yazılımını ve güvenlik yamalarını çalıştığından emin olun.
      • Gelişmiş İzleme: Şüpheli faaliyetleri hızlı bir şekilde tespit etmek ve yanıtlamak için ağ trafiğini ve alışılmadık erişim desenlerini geliştirilmiş şekilde izleyin.
      • Personel Farkındalığı: Çalışanları olası riskler konusunda eğitin ve onları phishing girişimleri ve diğer sosyal mühendislik taktikleri konusunda dikkatli olmaları konusunda teşvik edin.
      3.000 ayrı Fortinet SSL-VPN cihazına yönetici erişiminin satılması, dijital dünyadaki sürekli tehditlerin bir hatırlatıcısıdır.

      Kuruluşlar, ağlarını hemen güvence altına almalı ve bu tür zafiyetlere karşı verilerini korumalıdır.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Putty Zafiyeti

      PuTTY Güvenli Kabuk (SSH) ve Telnet istemcisinin bakımını üstlenen ekip, 0.68'den 0.80'e kadar olan sürümleri etkileyen ve NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tam kurtarımını sağlayabilecek kritik bir açıklığa dikkat çekiyor. Zafiyet CVE-2024-31497 kodu ile takip edilebilir.

      PuTTY ekibi "açığın etkisi özel anahtarı tehlikeye atmaktır" dedi.

      İki düzineden biraz daha fazla imzaya ve genel anahtara sahip bir saldırgan, özel anahtarı kurtarmak ve ardından sizin gibi imzalar üretmek için yeterli bilgiye sahip olur, böylece sizin için anahtar kullandığınız herhangi bir sunucuya giriş yapabilirler. Ancak imzaları elde etmek için bir saldırganın anahtarın kimlik doğrulaması için kullanıldığı sunucuyu ele geçirmesi gerekecektir.

      PuTTY'yi etkilediği gibi, diğer ürünleri de etkiler -
      • FileZilla (3.24.1 - 3.66.5)
      • WinSCP (5.9.5 - 6.3.2)
      • TortoiseGit (2.4.0.2 - 2.15.0)
      • TortoiseSVN (1.10.0 - 1.14.6)

      Sorumlu açıklamanın ardından, sorun PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ve TortoiseGit 2.15.0.1'de çözüldü. TortoiseSVN kullanıcıları, bir yama kullanılabilir hale gelene kadar SSH aracılığıyla bir SVN deposuna erişirken en son PuTTY 0.81 sürümündeki Plink'i kullanmaları önerilir.

      Özellikle, bu eski yaklaşım, PuTTY geliştiricileri tarafından belirtildiği gibi, yüksek kaliteli rasgelelik kaynağına ihtiyaç duymadan nonce'u türetme yöntemine sahip olmasına rağmen, P-521 kullanıldığında eğik nonce'lara duyarlı olan deterministik bir yaklaşım kullanarak elde edildi.

      Bu eski yaklaşım, Microsoft Windows'un kriptografik rasgele sayı üreteci için yerleşik desteğe sahip olmadığı bir dönemde geliştirildi.

      Zafiyetli bileşenlerle kullanılan ECDSA NIST-P521 anahtarları tehlikeye atfedilmeli ve dolayısıyla bunlar ~/.ssh/authorized_keys dosyalarından ve diğer SSH sunucularındaki karşılıklarından kaldırılarak iptal edilmelidir.

      İvanti MDM Kritik Zafiyet

      İvanti, Avalanche mobil cihaz yönetimi (MDM) çözümünde 27 güvenlik açığını düzeltmek için güvenlik güncelleştirmeleri yayınladı, bunlardan ikisi uzaktan komut yürütme için kullanılabilen kritik heap taşmaları. Avalanche, kurumsal yöneticilerin 100.000'den fazla mobil cihazı tek bir merkezi konumdan uzaktan yönetmelerini, yazılım dağıtmalarını ve güncellemeleri planlamalarını sağlayan bir çözümdür.

      İvanti, iki kritik güvenlik açığının (CVE-2024-24996 ve CVE-2024-29204) Avalanche'in WLInfoRailService ve WLAvalancheService bileşenlerinde bulunduğunu açıkladı.

      İkisi de bellek tabanlı tampon taşma zayıflıklarından kaynaklanmaktadır ve kimlik doğrulaması yapılmamış uzaktan saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla savunmasız sistemlerde keyfi komutlar yürütmesine izin verebilir. Ivanti, uzaktan saldırganların hizmet reddi saldırıları tetikleyebileceği, SYSTEM olarak keyfi komutlar yürütebileceği, bellekten hassas bilgileri okuyabileceği ve uzaktan kod yürütme saldırıları başlatabileceği 25 orta ve yüksek ciddiyetli hataları düzeltti.

      "Güvenlik açıklarını ele almak için aşağıda listelenen Avalanche sürümüne yükseltmek ve en son Avalanche 6.4.3 sürümüne güncellemek çok önemlidir."

      İvanti, geçen Aralık ayında Avalanche MDM çözümünde 13 kritik düzeyde uzaktan kod yürütme açığını yamaladıktan sonra, Ağustos ayında topluca izlenen iki başka Avalanche tampon taşması olan CVE-2023-32560'ı düzeltmişti.

      Hackerlar, bir yıl önce Norveçli birçok hükümet kuruluşunun ağlarını ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) olarak da bilinen MobileIron Core'un iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandılar. Aylar sonra, saldırganlar üçüncü bir MobileIron Core sıfır günü (CVE-2023-35081) ile CVE-2023-35078'i birleştirdiler ve aynı zamanda bir düzine Norveçli bakanlığın IT sistemlerine de sızdılar.

      "Cep cihazı yönetimi (MDM) sistemleri, binlerce mobil cihaza yükseltilmiş erişim sağladıkları için tehdit aktörleri için çekici hedeflerdir ve APT aktörleri önceki bir MobileIron açığından yararlanmıştır," (CISA'nın eski bir uyarısı.)

      Cisco Duo SMS ve VoIP Sızıntısı

      Cisco Duo Güvenlik Ekibi, telekomünikasyon sağlayıcılarında gerçekleşen bir siber saldırıda bazı müşterilerin VoIP ve SMS günlüklerinin çalındığını bildiriyor. Cisco Duo, şirket içi ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü kimlik doğrulama ve Tek Oturum Açma (SSO) hizmetidir. Duo'nun ana sayfasına göre, hizmet 100.000 müşteriye hizmet veriyor ve aylık olarak bir milyardan fazla kimlik doğrulaması yapıyor; Google Play'de ise 10.000.000'den fazla indirme rakamına ulaşmış durumda.

      Müşterilere gönderilen e-postalarda Cisco Duo, 1 Nisan 2024 tarihinde yaşanan bir telekomünikasyon sağlayıcısı üzerindeki siber saldırı hakkında bilgi veriyor. Bildirimde, bir tehdit aktörünün bir avlanma saldırısıyla çalışan kimlik bilgilerini elde ettiği ve ardından bu kimlik bilgilerini kullanarak telekomünikasyon sağlayıcısının sistemlerine erişim sağladığı belirtiliyor.

      Saldırgan daha sonra 1 Mart 2024 ile 31 Mart 2024 tarihleri arasındaki belirli Duo hesaplarıyla ilişkilendirilen SMS ve VoIP MFA mesaj günlüklerini indirmiş.

      Sağlayıcı, tehdit aktörünün mesajların içeriğine erişim sağlamadığını veya erişimlerini müşterilere mesaj göndermek için kullanmadığını doğruladı. Ancak, çalınan mesaj günlükleri, kurumsal kimlik bilgilerine erişmek için hedefe yönelik avlanma saldırılarında kullanılabilecek veriler içeriyor.

      Bu günlüklerde bulunan veriler şunları içerir:
      • Telefon numarası
      • Taşıyıcı
      • Konum verisi
      • Tarih
      • Saat
      • Mesaj türü
      Etkilenen tedarikçi saldırıyı keşfettiğinde, etkilenen kimlik bilgilerini geçersiz kıldı, etkinlik günlüklerini analiz etti ve Cisco'yu bilgilendirdi. Benzer olayların gelecekte yaşanmasını önlemek için ek güvenlik önlemleri de alındı.

      Cisco, bu ihlalden etkilenen müşterileri, çalınan bilgileri kullanarak potansiyel SMS avlanma veya sosyal mühendislik saldırılarına karşı dikkatli olmaları konusunda uyarıyor.

      FBI geçen yıl, tehdit aktörlerinin kurumsal ağlara sızmak için SMS avlanma ve sesli aramaları kullanma konusunda giderek artan bir eğilim gösterdiğini uyardı.

      2022 yılında, bir tehdit aktörü bir Uber çalışanında çok faktörlü kimlik doğrulama yorgunluğu saldırısı gerçekleştirdikten sonra onlara WhatsApp üzerinden telefon numarasıyla iletişime geçerek, IT yardım masası personeli gibi davranarak, sonunda hedefin hacklere hesaba giriş yapmalarına ve Uber'in sistemlerine erişmelerine izin verdi.

      Cisco, bu olaydan etkilenen tedarikçinin adını ve bu olaydan etkilenen net müşteri sayısını açıklamadı. Cisco, Duo'nun müşterilerinin yaklaşık %1'ini etkilediğini bildirdi. Şirketin 100.000 kullanıcısı olduğu iddia edildiğine göre, bu olay yaklaşık olarak 1.000 kişiyi etkiledi.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      28 Mart 2024

      Siber Güvenlik Bülteni - Mart 2024

       

      Bültenimizin Mart Ayı konu başlıkları; 
        • Lockbit, Saldırılarına Tekrar Başladı
        • QNAP NAS Cihazlarında Kritik Hata
        • Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı
        • Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor
        • FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

        Lockbit, Saldırılarına Tekrar Başladı

        LockBit fidye yazılımı çetesi, geçen ay yapılan uluslararası yasal müdahaleden sonra, güncellenmiş şifreleyiciler kullanarak yine saldırılar düzenlemeye başladı.

        NCA, FBI ve Europol'un LockBit fidye yazılımı operasyonu 'Operasyon Cronos' adı verilen koordineli bir müdahale ile geçen ay gerçekleştirilmişti.

        Bu operasyon kapsamında, yasal yetkililer altyapıyı ele geçirirken, şifre çözücüler kurtarıldı ve fidye yazılımı çetesinin veri sızıntısı sitesi, polis tarafından basın portalına dönüştürüldü. Bunun üzerine kısa bir süre sonra LockBit yeni bir veri sızıntısı sitesi kurdu ve FBI'a hitaben uzun bir not bıraktı; burada yasal yetkililerin sunucularına bir PHP hatası kullanarak sızdığını iddia etti.

        Yeniden markalaşmak yerine, operasyon genelinde saldırılardan kaçınmak ve şifre çözücülere erişimi engellemek için güncellendirilmiş altyapı ve yeni güvenlik mekanizmalarıyla geri döneceklerini de açıkladılar. LockBit'in yeni altyapıları için yeni veri sızıntısı ve müzakere siteleri kurarak saldırılarına devam ettiği görünüyor.

        Zscaler tarafından ilk olarak bildirildiği gibi, fidye yazılımı çetesi, şifreleyicilerin fidye notlarını yeni altyapılarında Tor URL'leriyle güncelledi. Güncellenmiş fidye notlarını içeren örneklerin VirusTotal'e yüklendiği de doğrulandı.

        LockBit kapatıldığında, fidye yazılımı operasyonunun yaklaşık 180 ortağı vardı. Kaçının hala Hizmet Olarak Fidye Yazılımı (RaaS) ile çalıştığı bilinmiyor. Ancak, LockBit şimdi deneyimli pentester'ları tekrar operasyonlarına katılmaya aktif olarak davet ediyor ve bu çağrı muhtemelen gelecekteki saldırıların artmasına neden olacaktır. LockBit'in yavaşça silinip Conti gibi yeniden markalaşma planının bir parçası olup olmadığı henüz bilinmiyor. Ancak şu anda, LockBit'in hala bir tehdit olmaya devam ettiği dikkate alınmalıdır.

        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        QNAP NAS Cihazlarında Kritik Hata

        QNAP, QTS, QuTS hero, QuTScloud ve myQNAPcloud dahil NAS yazılım ürünlerinde bulunan ve saldırganların cihazlara erişmesine izin verebilecek güvenlik açıklarına dikkat çekiyor.

        NAS cihazı üreticisi QNAP, bir kimlik doğrulama atlatması, komut enjeksiyonu ve SQL enjeksiyonuna yol açabilen üç açığı açıkladı.

        Son iki açık, saldırganların hedef sistemde kimlik doğrulaması yapmalarını gerektirse de, riski önemli ölçüde azaltırken, bildirilen ilk açık (CVE-2024-21899) kimlik doğrulaması olmadan uzaktan yürütülebilir ve "düşük karmaşıklık" olarak bildirilmiştir.

        Düzeltilen üç zafiyet ise şunlardır:

        CVE-2024-21899: Uygun olmayan kimlik doğrulama mekanizmaları, yetkisiz kullanıcıların ağı kullanarak sistemin güvenliğini tehlikeye atmasına izin verir (uzaktan).
        CVE-2024-21900: Bu güvenlik açığı, kimlik doğrulama yapılmış kullanıcılara, ağı kullanarak sistemde keyfi komutlar yürütme olanağı sağlayabilir ve bu da yetkisiz sistem erişimine veya kontrolüne yol açabilir.
        CVE-2024-21901: Bu zafiyet, kimlik doğrulama yapılmış yöneticilerin ağı kullanarak kötü amaçlı SQL kodu enjekte etmesine olanak tanıyabilir ve bu da veritabanı bütünlüğünü tehlikeye atabilir ve içeriğini manipüle edebilir.

        Bu zafiyetler, QNAP'ın QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x ve myQNAPcloud 1.0.x hizmetlerinin çeşitli sürümlerini etkiler.

        Bu üç zafiyeti barındıran, aşağıdaki sürümler için yükseltme yapılması önerilir:

        QTS 5.1.3.2578 yapı 20231110 ve sonrası
        QTS 4.5.4.2627 yapı 20231225 ve sonrası
        QuTS hero h5.1.3.2578 yapı 20231110 ve sonrası
        QuTS hero h4.5.4.2626 yapı 20231225 ve sonrası
        QuTScloud c5.1.5.2651 ve sonrası
        myQNAPcloud 1.0.52 (2023/11/24) ve sonrası

        QTS, QuTS hero ve QuTScloud için, kullanıcıların yönetici olarak giriş yapması, 'Kontrol Paneli > Sistem > Yazılım Güncelleme'ye gitmesi ve 'Güncellemeleri Kontrol Et'i tıklaması gerekmektedir.

        myQNAPcloud'u güncellemek için, yönetici olarak giriş yapın, 'Uygulama Merkezi'ni açın, arama kutusuna tıklayın ve "myQNAPcloud" yazın ve ENTER basın. Güncelleme sonuçlarda görünmelidir. Güncellemeyi başlatmak için 'Güncelle' düğmesine tıklayın.

        NAS cihazları genellikle veri hırsızlığı ve şantaj amacıyla hedef alınır. Önceki QNAP cihazlarını hedef alan bazı fidye yazılımları operasyonları DeadBolt, Checkmate ve Qlocker'dır. Bu gruplar, bazen tamamen yamalı cihazlara sızmak için sıfır gün saldırılarını kullanarak NAS kullanıcılarına karşı birçok saldırı dalgası başlatmıştır. NAS sahipleri için en iyi tavsiye, yazılımlarını her zaman güncel tutmaktır ve bu tür cihazları İnternet'e açmamaktır. Eğer İnternet'e açmaları gerekiyorsa;

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı

        Cisco,  Secure Client adlı kurumsal VPN uygulamasındaki iki yüksek dereceli açığın yamalarını duyurdu.

        İlk zafiyet, CVE-2024-20337 olarak izlenen, Linux, macOS ve Windows sürümlerini etkileyen Secure Client'a ilişkindir ve kimlik doğrulama olmaksızın uzaktan, taşıma satırı besleme (CRLF) enjeksiyonu saldırılarında kullanılabilir.

        Kullanıcı tarafından sağlanan girişin yetersiz şekilde doğrulanması nedeniyle, VPN oturumu oluştururken bir kullanıcıyı hileli bir bağlantıya tıklamaya ikna eden bir saldırgan, kurbanın tarayıcısında keyfi komut dosyalarını yürütebilir veya SAML tokenleri gibi hassas bilgilere erişebilir.

        Cisco'un açıklamasına göre, yalnızca SAML Dış Tarayıcı özelliğiyle yapılandırılmış VPN baş ucu olan Secure Client örnekleri savunmasız durumdadır. Üretici, güvenlik açığını Secure Client sürümleri 4.10.08025 ve 5.1.2.42 ile giderdiğini belirtmiştir. Sürüm 4.10.04065'ten önceki sürümlerin ise savunmasız olmadığı ile ayrıca 5.0 sürümü için yamaların mevcut olmadığı belirtilmiştir.

        İkinci yüksek ciddiyetli hatada, CVE-2024-20338 olarak izlenen, yalnızca Linux için Secure Client'i etkiler ve başarılı bir saldırı için kimlik doğrulama gerektirir. VPN uygulamasının 5.1.2.42 sürümünde ise bu hatanın düzeltildiği belirtilmiştir.

        Üretici "Bir saldırgan, kötü niyetli bir kitaplık dosyasını dosya sisteminde belirli bir dizine kopyalayarak ve bir yöneticiyi belirli bir işlemi yeniden başlatmaya ikna ederek bu açığı kullanabilir. Başarılı bir saldırı, saldırganın kök ayrıcalıklarına sahip etkilenen bir cihazda keyfi kod yürütmesine izin verebilir," diye belirtiyor.

        Cisco ayrıca AppDynamics Controller ve Duo Authentication for Windows Logon ve RDP'de birden fazla orta ciddiyetli hata için yamalar duyurdu, bu da veri sızıntılarına ve ikincil kimlik doğrulama atlamalarına neden olabilir.

        Küçük İşletme 100, 300 ve 500 AP'lerindeki diğer iki orta ciddiyetli zafiyet ise yamalanmayacak, çünkü bu ürünler ömürlerini tamamlamış durumda (EoL). Ayrıca üretici, bu açıkların hiçbirinin şu anda gerçek dünyada istismar edilmediği yorumunu belirtiyor.

        Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor

        Çinli siber tehdit aktörleri, son dönemde Ivanti Connect Secure VPN'deki açıkları hedef alarak saldırılarını sürdürüyor ve saldırılarında kalıcılık sağlamak için yeni geliştirilen kötü amaçlı yazılımları kullanıyorlar.

        Bu açıklar, Volexity'nin üç hafta kadar önce Çinli tehdit aktörlerinin iki tanesini sıfır gün olarak kullandığı uyarısının ardından, 31 Ocak'ta ele alındı.

        Bir hafta kadar sonra, Ivanti, kurumsal VPN ve ağ erişim ürünlerinde beşinci bir açığı yamaladı. Bu açıkların kanıtı olarak sunulan kodlar hızla yayımlandı ve saldırganlar bunları hemen sömürmeye başladılar.

        Yama dağıtımından sonra, saldırganlar, Ivanti'nin kurumsal VPN ve ağ erişim cihazlarında SAML bileşeninde bulunan bir sunucu tarafından istek sahteciliği (SSRF) açığı olarak tanımlanan ve CVE-2024-21893 olarak bilinen bir açığı sömürmeye devam ettiler.

        UNC5325 olarak tanımlanan Çinli bir tehdit aktörü, CVE-2024-21893'ü sömürmek için LittleLamb.WoolTea, PitStop, Pitdog, PitJet ve PitHook gibi yeni kötü amaçlı yazılım ailelerini dağıtmak için gözlemlendi.

        Kod örtüşmelerine dayanarak, UNC5325'in önceden savunmasız VMware ürünlerini hedef alan Çinli siber casusluk grubu UNC3886 ile ilişkilendirildiği belirlendi.

        UNC3886ABD ve APJ bölgelerindeki savunma endüstriyel tabanı, teknoloji ve telekomünikasyon organizasyonlarını hedef aldı. UNC5325'in, Ivanti'nin ürünlerindeki bir komut enjeksiyonu olan CVE-2024-21887 ve CVE-2024-21893'ü birleştirmeye devam ettiği gözlemlendi.

        İlk erişim sağlandıktan sonra, saldırganlar keşif yapmış ve ters kabuk kurmuşlardır.

        Saldırganların cihazdan keyfi dosyaları okumalarına izin veren ve Ivanti'nin yerleşik sistem yardımcı programlarını kullanarak tespit edilmeyi önlemek için "cihazın incelikli bir anlayışını" gösteren bir web kabuğunun bir türevi olan BushWalk adlı bir web kabuğunu kullandıkları görüldü.

        Bazı durumlarda, saldırganlar SparkGateway eklentilerini geri kapılar dağıtmak ve paylaşılan nesneleri kalıcı olarak enjekte etmek için kullandılar. SparkGateway, Ivanti'nin VPN cihazının meşru bir bileşenidir ve uzaktan erişim sağlar.

        Bu SparkGateway eklentilerinden biri olan PitFuel adlı bir eklenti, LittleLamb.WoolTea adlı paylaşılan nesneyi yüklemek için kullanıldı, ancak kalıcılık denemeleri başarısız oldu.

        İkinci kötü amaçlı SparkGateway eklentisi olan PitDogPitHook adlı paylaşılan nesneyi belleğe enjekte ederken ve geri kapı olan PitStop'u sürekli olarak yürütürken görüldü. PitStop, komutları yürütebilir ve değiştirilmiş cihazda dosya okuyabilir ve yazabilir.

        UNC5325'in TTP'leri ve kötü amaçlı yazılım dağıtımı, sıfır günlerle birlikte kenar altyapısına karşı şüpheli Çin-nexus casusluk aktörlerinin kullandığı yetenekleri sergiliyor. UNC5325'in, Ivanti Connect Secure cihazının önemli bir bilgi birikimine sahip olduğu ve fabrika sıfırları sırasında kalıcı olma girişimlerinde görüldüğü belirtiliyor.

        FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

        Fortinet, FortiOS, FortiProxy ve FortiClientEMS'deki kritik kod yürütme açıklarını gidermek için güvenlik güncellemelerini yayınladı.

        İlk zafiyet, CVE-2023-42789 olarak izlenen bir sınır dışı yazma sorunudur (CVSS puanı 9.3). Bu, hassas HTTP istekleri gönderilerek yetkisiz kod veya komutların yürütülmesine olanak tanıyan bir açıktır.

        Bu zafiyet, Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

        Üretici ayrıca, özel olarak oluşturulmuş HTTP istekleri aracılığıyla yetkisiz kod veya komutların yürütülmesine olanak tanıyan yüksek dereceli bir yığın tabanlı tampon taşma zafiyetini de ele almıştır. Bu zafiyet, CVE-2023-42790 olarak izlenmektedir (CVSS puanı 8.1).

        Bu zafiyet de Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

        Güvenlik üreticisi ayrıca, DAS bileşenindeki önemli bir yaygın SQL enjeksiyon sorununu da ele almıştır. Bu zafiyet, CVE-2023-48788 olarak izlenmektedir (CVSS puanı 9.3).

        "Şekillendirilmiş istekler aracılığıyla yetkisiz kod veya komutların yürütülmesine izin verebilecek bir SQL Enjeksiyonu açığı [CWE-89] FortiClientEMS'de bir güvenlik açığı oluşturabilir." şeklinde açıklamada bulunulmuştur.

        Bu zafiyetten etkilenen sürümler ve bu sorunu ele alan sürümler aşağıda belirtilmiştir:

        Sürüm                        Etkilenen             Çözüm
        FortiClientEMS 7.2     7.2.0 ile 7.2.2        7.2.3 veya üstüne yükseltme yapın
        FortiClientEMS 7.0     7.0.1 ile 7.0.10      7.0.11 veya üstüne yükseltme yapın


        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar