fortios zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
fortios zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Temmuz 2024

Siber Güvenlik Bülteni - Haziran 2024

 

Bültenimizin Haziran Ayı konu başlıkları; 
    • Fortinet, FortiOS Zafiyeti
    • VMware, Kritik vCenter RCE Zafiyeti
    • Botnet, Zyxel NAS Zafiyetini Kullanıyor
    • İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

    Fortinet, FortiOS Zafiyeti

    Fortinet, FortiOS'un komut satırı yorumlayıcısında çoklu yığın tabanlı arabellek taşması güvenlik açıklarını (CVE-2024-23110) açıkladı.

    Etkilenen Sürümler ve Çözümler

    Bu güvenlik açıkları, FortiOS'un çeşitli sürümlerini etkilemektedir.
    • FortiOS 7.4: 7.4.0 ile 7.4.2 sürümleri etkilenmiştir. Kullanıcılar 7.4.3 veya üstü sürüme yükseltmelidir.
    • FortiOS 7.2: 7.2.0 ile 7.2.6 sürümleri etkilenmiştir. Kullanıcılar 7.2.7 veya üstü sürüme yükseltmelidir.
    • FortiOS 7.0: 7.0.0 ile 7.0.13 sürümleri etkilenmiştir. Kullanıcılar 7.0.14 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.4: 6.4.0 ile 6.4.14 sürümleri etkilenmiştir. Kullanıcılar 6.4.15 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.2: 6.2.0 ile 6.2.15 sürümleri etkilenmiştir. Kullanıcılar 6.2.16 veya üstü sürüme yükseltmelidir.
    • FortiOS 6.0: Tüm sürümler etkilenmiştir. Kullanıcılar sabit bir sürüme geçmelidir.

    Fortinet, sabit sürümlere sorunsuz geçiş sağlamak için yükseltme yolu aracını kullanmayı önermektedir. Araca Fortinet'in Yükseltme Yolu Aracı'ndan erişilebilir.

    Bu güvenlik açıkları, FortiOS komut satırı yorumlayıcısındaki komut satırı argümanlarının hatalı işlenmesinden kaynaklanmaktadır.

    Kimliği doğrulanmış bir saldırgan, özel olarak hazırlanmış komut satırı argümanları göndererek bu güvenlik açıklarından yararlanabilir ve yetkisiz kod veya komut çalıştırabilir.

    Önleme ve Öneriler

    Fortinet, etkilenen tüm FortiOS sürümlerini kullanan kullanıcıların riskten korunmak için mümkün olan en kısa sürede önerilen sürümlere yükseltmelerini tavsiye eder.

    Kullanıcılar ayrıca, komut satırı arayüzüne erişimi güvenilir kullanıcılarla sınırlandırmak ve olağandışı etkinlikleri izlemek gibi ağ güvenliği için en iyi uygulamaları takip etmelidir.

    FortiGate cihazınıza giriş yaparak mevcut FortiOS sürümünü kontrol edin.

    Yükseltme Yolu Aracını Kullanma

    Yükseltme Yolu Aracına Erişme: Fortinet’in Yükseltme Yolu Aracı’nı ziyaret edin.
    Ürün ve Sürümleri Seçme: Mevcut FortiGate ürününüzü, mevcut FortiOS sürümünüzü ve hedef FortiOS sürümünü seçin.
    Önerilen Yolu Takip Edin: Araç, önerilen bir yükseltme yolu sağlayacaktır. Gerekirse tüm ara yazılım sürümlerini indirin.

    UYARI: Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi.

    Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    VMware, Kritik vCenter RCE Zafiyeti

    VMware, vCenter Server'da uzaktan kod yürütme ve yerel ayrıcalık yükseltme kusurlarını içeren kritik güvenlik açıklarını ele alan bir güvenlik danışma belgesi yayınladı.

    Üretici CVE-2024-37079CVE-2024-37080CVE-2024-37081 olarak adlandırılan üç güvenlik açığı için düzeltmeler yayınladı ve özet olarak şunları içerir:

    CVE-2024-37079: vCenter Server'ın DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı. Ağ erişimine sahip kötü niyetli bir aktörün özel olarak hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak uzaktan kod yürütmeye yol açabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

    CVE-2024-37080: vCenter Server'ın DCERPC protokolünde başka bir yığın taşması güvenlik açığı. CVE-2024-37079'a benzer şekilde, bir saldırganın özel olarak hazırlanmış paketler göndererek yığın taşmasını istismar etmesine ve potansiyel olarak uzaktan kod yürütmeye neden olabilir. (CVSS v3.1 puanı: 9.8 “kritik”)

    CVE-2024-37081: vCenter Server'da sudo'nun yanlış yapılandırılmasından kaynaklanan bu güvenlik açığı, kimliği doğrulanmış yerel bir kullanıcının bu kusuru kullanarak vCenter Server Appliance'da root ayrıcalıklarına yükseltilmiş yetkilerle erişim sağlamasına izin verir. (CVSS v3.1 puanı: 7.8 “yüksek”)

    Yukarıdaki kusurlar VMware vCenter Server sürümleri 7.0 ve 8.0 ile VMware Cloud Foundation sürümleri 4.x ve 5.x'i etkilemektedir.

    VMware vCenter Server 8.0 U2d, 8.0 U1e ve 7.0 U3r sürümlerinde güvenlik güncellemeleri yayınlanmıştır. Cloud Foundation için yamalar KB88287 aracılığıyla sağlanmıştır.

    Üretici, vCenter Server'ı güncellemenin çalışan iş yüklerini veya sanal makineleri etkilemeyeceğini, ancak güncelleme sırasında vSphere Client ve diğer yönetim arayüzlerinde geçici bir kullanılabilirlik kesintisi yaşanabileceğini belirtiyor..

    Üretici, bu güvenlik açıkları için ürün içinde uygulanabilir bir geçici çözüm veya azaltma yöntemi bulunmadığını, bu nedenle önerilen çözümün mümkün olan en kısa sürede güncellemelerin uygulanması olduğunu belirtiyor.

    VMware, güvenlik bülteninde henüz zafiyetlerin aktif olarak kullanıldığına dair herhangi bir tespit olmadığını belirtiyor. Ancak, vCenter kusurlarının açıklanması durumunda tehdit aktörleri tarafından hedef alınması yaygın bir durum olduğundan, yöneticilerin güncellemeleri mümkün olan en kısa sürede uygulamaları gerekmektedir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Botnet, Zyxel NAS Zafiyetini Kullanıyor

    Shadowserver Foundation, kullanımdan kaldırılmış Zyxel NAS cihazlarında yeni açıklanan kritik seviyedeki bir güvenlik açığının botnet saldırılarında zaten istismar edildiği konusunda uyarıyor.

    CVE-2024-29973 olarak izlenen bu sorun, kimlik doğrulama gerektirmeden uzaktan istismar edilebilen bir kod enjeksiyon kusuru olarak tanımlanıyor. Geçen yıl, benzer bir kod enjeksiyon hatası olan CVE-2023-27992'yi yamaladığında ortaya çıkmıştı.

    Bu güvenlik açığını keşfeden ve bildiren uzmanlar, "Bu güvenlik açığını yamalarken, eski yöntemleri kullanan yeni bir uç nokta eklediler ve bunu yaparken, önceki hataların aynısını uyguladılar" şeklinde açıklama yapıyorlar.

    Araştırmacıya göre, bir saldırgan, uzaktan kod yürütme amacıyla bu güvenlik açığını istismar etmek için savunmasız bir cihaza özel olarak hazırlanmış HTTP POST istekleri gönderebilir.

    Geçen hafta sonunda, Shadowserver Foundation, bu güvenlik açığını hedef alan ilk istismar girişimlerini Mirai benzeri bir botnet tarafından görmeye başladığını açıkladı. Bu kusuru hedef alan teknik detaylar ve kavram kanıtı (PoC) kodu halka açık olarak mevcut.

    Zyxel, Haziran ayı başlarında CVE-2024-29973 ve diğer üç hata için yamalar yayınladı, ancak etkilenen ürünler olan NAS326 ve NAS542'nin Aralık 2023'te kullanımdan kaldırıldığını belirtti.

    Şirket, "CVE-2024-29972CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik seviye olması nedeniyle, Zyxel bu ürünlerin güvenlik desteğinin sona ermesine rağmen, uzatılmış destek alan müşteriler için yamalar sunmuştur" diye uyardı.

    NAS326 cihazları için V5.21(AAZF.17)C0 firmware sürümü bu kusurları çözerken, NAS542 ürünleri için Zyxel, hataları V5.21(ABAG.14)C0 firmware sürümünde ele aldı.

    Kullanıcılara cihazlarını mümkün olan en kısa sürede güncellemeleri ve desteklenen ürünlerle değiştirmeyi düşünmeleri tavsiye edilir. Botnet operatörleri de dahil olmak üzere tehdit aktörlerinin, yamaların yayınlandığı ürünlerindeki güvenlik açıklarını hedef aldığı bilinmektedir.

    İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

    İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'teki fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve planlı ameliyatların iptal edilmesine neden olduğunu doğruladı. Şirket, fidye yazılım saldırısının kurbanı olduğunu ve NHS uzmanlarının yardımıyla güvenlik ihlalini araştırdıklarını açıkladı.

    İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'e yapılan fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve 800'den fazla planlı ameliyat ile 700 ayakta tedavi randevusunun iptal edilmesine neden olduğunu doğruladı. Saldırı, Guy’s and St Thomas’ ve King’s College Hospital NHS Foundation Trust'larının yanı sıra güneydoğu Londra'daki birinci basamak sağlık hizmetlerini de olumsuz etkiledi.

    Saldırının arkasında Qilin fidye grubunun olduğundan şüpheleniliyor. Synnovis, saldırı sonrası sistemlerini kurtarmak için çalışmalarını sürdürüyor, ancak tam iyileşme zaman alacak ve bu süreçte testlerin ve randevuların yeniden planlanması gerekecek.

    NHS, kan eşleştirme testlerindeki aksaklıklar nedeniyle O tipi kan bağışları için acil bir çağrı yaptı. O Negatif ve O Pozitif kanın kullanımı artırılmış durumda, bu nedenle bağışçılardan kan vermeleri isteniyor. O Negatif kan, acil durumlarda evrensel olarak kullanılabilir ve bu nedenle kritik öneme sahip.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    27 Mart 2023

    Siber Güvenlik Bülteni - Mart 2023

     

    Bültenimizin Mart Ayı konu başlıkları; 
      • Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum
      • FortiOS ve FortiProxy'de Kritik Zafiyet
      • Veeam Backup'ta Yüksek Düzeyli Zafiyet
      • Microsoft Outlook'ta Kritik Zafiyet
      • Bitcoin ATM'si Hacklendi

      Parola Güvenliği, En Yaygın Parolalar ve İstatistiklerdeki Son Durum 

      Veri ihlalleri ve siber saldırılar büyüyerek devam ediyor. Bu saldırılara karşı şüphesiz ki en savunmasız alan halen parolalarımız olarak ortaya çıkıyor.

      Binlerce parola içeren, saldırılarda kullanılan sözlük listeleri (wordlist'ler) artık milyon satırı aşıp milyarlar seviyesine gelmiş bulunuyor. Yapılan analizler sonrasında parolalar ile alakalı karşılaşılan bazı istatistiklerden bahsedeceğiz.

      2023'ün en çok kullanılan parolaları;
      1. 123456
      2. 123456789
      3. qwerty
      4. password
      5. 12345
      6. qwerty123
      7. 1q2w3e
      8. 12345678
      9. 111111
      10. 1234567890

      Bu parolaların sadece 2023'ün değil, geçtiğimiz 10 yılın da en yaygın kullanılan parolaları olduğunu söylemek mümkün. Bu parolalar 2.217.015.490'ı (%14.5) benzersiz olan toplam 15.212.645.925 adet parola analiz edilerek ortaya konulmuştur.

      Bu parolalara baktığımızda tahmin edilebilmesinin veya öngörülmesinin dahi çok zor olmadığını, tamamının saldırı sözlüklerinde kullanıma hazır şekilde yer aldığını görüyoruz.

      Belirtilen ilk 10 basit parola dışında ülkemizde de yoğun olarak futbol takımları, şehirler, yemekler, TC kimlik numaraları, il plakaları, aile bireyleri doğum tarihleri vb. kolaylıkla tahmin edilebilir parolalar veya halihazırda zaten saldırı sözlük listelerinde yer alan parolaların tercih edildiğini yaptığımız simülasyon çalışmalarında da görüyoruz.

      Parola oluşturulurken kullanılan tarihler incelendiğinde; 1900 - 2020 yılları aralığında en popüler olarak kullanılan yıllar; 2010, 1987 ve 1991'i ilk üçte görüyoruz. 1940'tan 1990'a kadar istikrarlı bir artış devam ederken, bundan sonraki tarihler için bir düşüş görülüyor fakat yine 2004'ten 2010'a kadarki yılların kullanımında tekrar bir yükseliş görülmekte.

      Parolalarda dünyada kullanılan en popüler isimler; Eva, Alex ve Anna iken Türkiye'de ise Mustafa, Zeynep ve Mehmet yer alıyor.

      Parolalarda kullanılan en popüler spor kulüpleri; (Phoenix) Suns, (Miami) HeatLiverpool, Arsenal ve Chelsea iken Türkiye'de Galatasaray, Fenerbahçe ve Beşiktaş yer alıyor.

      Parolalarda kullanılan en popüler şehirler; Abu (Dhabi), Rome, Lima ve Hong (Kong) ilen Türkiye'de İstanbul ve Ankara yer alıyor.

      Parolalar Hakkında Bazı İstatistikler;
      • Çalışanların %51'i kurumsal ve kişisel hesapları için aynı parolayı kullanıyor.
      • Çalışanların %69'u parolalarını iş arkadaşlarıyla paylaşıyor.
      • Çalışanlar parolalarını değiştirdiklerinde, ortalama 13 kez aynı parolayı tekrar kullanıyor.
      • Tekrarlı ve eski parola kullanımından dolayı her beş kişiden ikisinin parolası ele geçirildi.
      • İnsanların %50'si tüm hesapları için aynı parolayı kullanıyor.
      • İnternet kullanıcılarının yalnızca %31,3'ü parolalarını yılda 1 veya 2 kez güncelliyor.
      • Veri ihlallerinin %80'i zayıf parola kullanımından kaynaklanıyor.
      • İnternet kullanıcılarının %90'ı parolasının çalınmasından endişe duyuyor.
      • İnsanların %53'ü parolalarını akıllarında tutuyor.
      • 123456 parolası 23 milyondan fazla kişi tarafından aktif olarak kullanılıyor.
      • 15 milyar parolada yapılan analizlere göre genel parolalar 8 karakter veya daha kısa karakterden oluşmaktadır.
      • Her 11 saniyede bir işletme fidye yazılımı saldırısına uğruyor.
      • 18 - 24 yaş aralığındaki gençlerin %76'sı parola güvenliğine dikkat etmiyor.

      Güvenli bir parola oluşturmak için dikkat edilmesi gerekenler;
      • En az 16 karakterden oluşmalıdır.
      • Büyük küçük harflerin yanı sıra, rakam ve "?, @, !, #, %, +, -, *, %" gibi özel karakterler içermelidir.
      • Parola girilen alan kabul ediyorsa muhakkak Türkçe karakter içermelidir.
      • Önemli hesaplar ve giriş alanlarında daha sıkça, 3 ay - 6 ay veya en çok 12 ay içerisindeki periyotlarda mutlaka değiştirilmelidir.
      • Parolalar değiştirildikten sonra tekrar kullanılmamalıdır.
      • Her hesap için ayrı bir parola oluşturulmalıdır, aynı parola farklı giriş alanlarınızda kullanılmamalıdır.
      • Çok adımlı doğrulama etkinleştirilmelidir. SMS yerine mümkünse OTP - sistemleri tercih edilmelidir.
      • Parolalarınızı saklamak için kullanımınıza en uygun olan Parola Yöneticisi programlar araştırılmalı ve tercih edilmelidir.

      FortiOS ve FortiProxy'de Kritik Zafiyet

      Fortinet'in arka arkaya tespit edilen zafiyetleri ve bunlara bağlı siber olay haberleri bir türlü gündemimizden düşemiyor. Fortinet, FortiOS ve FortiProxy'yi etkileyen ve uzaktan erişim olanağı sağlayan kritik bir zafiyetinde bulunduğu 15 güvenlik açığını gidermek için düzeltmeler yayınladı.

      Uzaktan erişim imkanı sağlayan zafiyet CVE-2023-25610 referans numarası ile takip edilebilir. Fortinet, FortiOS ve FortiProxy yönetim arabirimindeki buffer underflow (arabellek altaşımı) zafiyeti sebebiyle kimliği doğrulanmamış bir saldırganın cihazda rastgele kod yürütmesine ve/veya özel hazırlanmış istekler aracılığıyla GUI'de bir DoS gerçekleştirmesine izin verebileceğini açıkladı.

      Underflow veya Buffer Underruns olarak da adlandırılan hatalar, giriş verilerinin alandan daha kısa olduğu zaman ortaya çıkar ve sistemin öngörülemeyen davranışlarda bulunmasına imkan sağlar.


      FortiOS ve FortiProxy etkilenen sürümler;

      FortiOS 7.2.0 - 7.2.3
      FortiOS 7.0.0 - 7.0.9
      FortiOS 6.4.0 - 6.4.11
      FortiOS 6.2.0 - 6.2.12
      FortiOS 6.0'ın tüm sürümleri
      FortiOS 5.x'in tüm sürümleri
      FortiProxy 7.2.0 - 7.2.2
      FortiProxy 7.0.0 - 7.0.8
      FortiProxy 2.0.0 - 2.0.11
      FortiProxy 1.2'nin tüm sürümleri
      FortiProxy 1.1'in tüm sürümleri

      Düzeltilmiş sürümler FortiOS için; 6.2.13, 6.4.12, 7.0.10, 7.2.4, 7.4.0 veya üst sürümleri.
      Düzeltilmiş sürümler FortiProxy için; 2.0.12, 7.0.9, 7.2.3 veya üst sürümleri.

      Fortinet henüz herhangi bir kötü niyetli istismar girişiminden haberdar olmadığını(!) söyledi fakat bu tür kritik zafiyetlerin ortaya çıktıktan hemen sonra saldırılarda kullanılmaya başlanıp, hızlıca bir istismar gerçekleştiği günümüzün kaçınılamayan bir gerçeği halinde, bu yüzden hızlıca yamaların yapılmasını öneririz.

      Geçici çözüm olarak Fortinet, HTTP/HTTPS yönetici arayüzünü devredışı bırakılmasını veya erişen IP adreslerinin kısıtlanmasını öneriyor.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Veeam Backup'ta Yüksek Düzeyli Zafiyet

      Veeam Software, yaygın kullanılan Veeam Yedekleme ve Kopyalama ürününde yüksek öneme sahip bir zafiyet için güncelleme yayınladı. Kimlik bilgilerinin sızdırılmasına olanak sağlayan zafiyet CVE-2023-27532 referans numarası ile takip edilebilir.

      Zafiyet, Veeam.Backup.Service.exe (TCP 9401) servisi tetiklenerek ortaya çıkmaktadır. Veeam Backup & Replication bileşeninde kimliği doğrulanmamış bir kullanıcı yapılandırma veritabanında depolanan ana sistem kimlik bilgilerinin alınmasına olanak sağlar. Bunun sonucunda Veeam Backup tarafından yönetilen ana sistemlere ve cihazlara erişim sağlayabilir. Açık olan TCP 9401 portuna erişim ile kullanıcı doğrulamasına ihtiyaç olmadan kimlik bilgileri çalınabilir, bu kullanıcı adı ve parolalar ile iç ağda yatay (yanal) hareketler gerçekleştirilerek farklı sistemlere geçiş yapılabilir.

      V12 (12.0.0.1420 P20230223) ve V11a'dan (11.0.1.1261 P20230227) önceki sürümler savunmasız durumdadır. Öncellikle versiyonunuzu bu sürümlere güncelleyip, yamayı devamında gerçekleştirmeniz gerekiyor.
      V12 Yamaları ve V11a Yamaları

      Henüz güncelleme veya yama uygulayamayan şirketler için ise, Veeam tarafından TCP 9401 portuna erişimin kısıtlanması önerilmiştir.


      Güvenli erişim, erişim kısıtlamalarının kolay yönetimi konularında çözüm sunduğumuz yeni ZTNA çözümümüz TINA ISOLATOR hakkında detaylı bilgi ve sunum için Bizi arayın: 0216 450 25 94  [email protected]

      Microsoft Outlook'ta Kritik Zafiyet

      Microsoft Outlook'ta geçtiğimiz haftalarda yayınlanan "Salı Yamaları" ile birlikte ciddi seviyede kritik bir zafiyet ortaya çıktı.

      Zafiyet ile saldırganların bir e-posta göndererek karşıdaki kullanıcının parola hash'lerini çalabildikleri ortaya çıktı.

      Parola hash'lerinin çalınmasına olanak sağlayan zafiyet CVE-2023-23397 referans numarası ile takip edilebilir. Zafiyetin tetiklenmesi için bir kullanıcı aksiyonuna gerek yoktur, Outlook'un açık olması ve hatırlatıcının tetiklenmesi yeterlidir, bu yüzden çok ciddi bir zafiyettir.


      Outlook saldırısına sebep olan NTLM aslında bilinen ciddi bir risk konusu oluşturmaktadır.
      Windows NTLM, hash bilgileriyle etki alanlarında oturum açmak için kullanılan bir kimlik doğrulama yöntemidir. NTLM bilinen risklerle gelse bile, eski sistemlerle uyumluluğu sürdürebilmek için yeni sistemlerde de kullanılmaya devam etmektedir, risklerinden ötürü Kerberos gibi protokoller tercih edilmektedir.

      Microsoft, ayrıca  bir saldırgan tarafından kontrol edilen SMB (TCP 445) paylaşımına UNC yolu ile MAPI özelliğine sahip bir mesaj göndererek NTLM hashlerinin ele geçirebileceğini açıkladı.

      2022 yılında da aktif olarak kullanılan zafiyet birçok saldırgan grup tarafından kurumsal ağlara sızmak ve ağda yatay (yanal) hareket etmek için Kamu, Ulaşım, Enerji ve Askeri alanlarda kullanıldığı düşünülmektedir. Açık, Ukrayna CERT ekibi tarafından tespit edilip, Microsoft'a bildirilmiştir. 

      Outlook Android, iOS ve MacOs sürümleri etkilenmemekte, sadece Microsoft yazılımları etkilenmektedir;

      Microsoft Outlook 2016 (64-bit edition)
      Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
      Microsoft Outlook 2013 RT Service Pack 1
      Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
      Microsoft Office 2019 for 32-bit editions
      Microsoft 365 Apps for Enterprise for 32-bit Systems
      Microsoft Office 2019 for 64-bit editions
      Microsoft 365 Apps for Enterprise for 64-bit Systems
      Microsoft Office LTSC 2021 for 64-bit editions
      Microsoft Outlook 2016 (32-bit edition)
      Microsoft Office LTSC 2021 for 32-bit editions

      Microsoft, zafiyetten etkilenen e-postaları tespit etmek için de bir powershell scripti yayınladı. Hızlıca gerekli yamaların yapılması önerilmektedir.

      Bitcoin ATM'si Hacklendi

      General Bytes, 40'tan fazla kripto para alım satım imkanını sağlayan Bitcoin ATM'lerinin üreticisidir, geçtiğimiz günlerde saldırganların BATM yönetim arayüzündeki sıfırıncı gün zafiyeti kullanılarak şirketten ve müşterilerden kripto para çalındığını açıkladı.

      Saldırganlar Digital Ocean üzerindeki IP adres alanını tarayarak General Bytes'a ait sunucuların ve ATMlerin 7741 nolu portunda çalışan CAS hizmetini belirledi ve tespit edilen BATM-4780 olarak referans edilen sıfırıncı gün zafiyetinden faydalandı.

      Zafiyetten faydalanan saldırganlar; veri tabanına erişim, API anahtarlarını okuma ve şifrelerini çözme, sıcak cüzdanlardan para gönderimi, kullanıcı adları ve parola içeren hash bilgilerini sızdırma ve terminal loglarına erişim gibi oldukça kritik özellikleri gerçekleştirebilir hale geldi.

      Şu ana kadar çalındığı tespit edilen kripto para miktarı henüz 1.6 milyon dolar. Üretici, müşterilerini hızlıca CAS parolaları ve API anahtarlarını yenilemeleri konusunda uyardı.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Popüler Yayınlar