Siber Güvenlik Bülteni - Ocak 2024

 

Bültenimizin Ocak Ayı konu başlıkları;  Ivanti Connect Secure Sıfırıncı Gün Zafiyeti GoAnywhere MFT Auth Bypass 2023 Yılının Popüler Siber Saldırıları Tarihin En Büyük Veri Sızıntısı

Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı. İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir. Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler. Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi. Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor. Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir. Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor. 2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı. Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir). Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır. Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

GoAnywhere MFT Auth Bypass

Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor. CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir. Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi. 7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler. Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir. CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi. Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor. Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir. CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023 Yılının Popüler Siber Saldırıları

Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor. Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar: Yöntemlerini otomatikleştirmek Yöntemlerini geliştirmek Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır. Siber Saldırı Türlerinin Genel Olarak Bilinenleri: Kötü Amaçlı Yazılım (Malware) Kimlik Avı (Phishing) Servis Dışı Bırakma (DoS) Dağıtık Servis Dışı Bırakma (DDoS) Orta Adam Saldırısı (MitM) SQL Enjeksiyonu Cross-Site Scripting (XSS) Zero-Day Saldırıları Gelişmiş Kalıcı Tehditler (APTs) Fidye Yazılımları (Ransomware) IoT (Nesnelerin İnterneti) Sömürüsü Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir. Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Tarihin En Büyük Veri Sızıntısı

Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor. Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi. 26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir. Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor. Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır. Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir. Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler. Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler. Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Şubat 2023

 

Bültenimizin Şubat Ayı konu başlıkları;  FortiNAC ve FortiWeb Güncellemeleri Carbon Black App Control Kritik Zafiyeti GoDaddy Güvenlik İhlali GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

FortiNAC ve FortiWeb Güncellemeleri

Siber güvenlik çözümleri şirketi Fortinet, FortiNAC ve FortiWeb ürünleri için kimliği doğrulanmamış saldırganların; kullanıcı adı veya parola gereği olmaksızın, uzaktan kod çalıştırmasına izin veren iki önemli zafiyet için güvenlik güncellemeleri yayınladı. FortiNAC ürününü etkileyen zafiyet CVE-2022-39952 referans numarası ile takip edilebilir, etkilenen ürün sürümleri; FortiNAC 9.4.0 sürümü FortiNAC 9.2.0 ila 9.2.5 sürümleri FortiNAC 9.1.0 ila 9.1.7 sürümleri FortiNAC 8.8 tüm sürümler FortiNAC 8.7 tüm sürümler FortiNAC 8.6 tüm sürümler FortiNAC 8.5 tüm sürümler FortiNAC 8.3 tüm sürümler FortiNAC 9.4.1 ve üzeri, 9.2.6 ve üzeri, 9.1.8 ve üzeri ve 7.2.0 ve üzeri sürümlerde düzeltildiği belirtilmiştir. FortiWeb ürününü etkileyen zafiyet CVE-2021-42756 referans numarası ile takip edilebilir, etkilenen ürün sürümleri; FortiWeb 5.x tüm sürümleri FortiWeb 6.0.7 ve altı sürümler FortiWeb 6.1.2 ve altı sürümler FortiWeb 6.2.6 ve altı sürümler FortiWeb 6.3.16 ve altı sürümler FortiWeb 6.4 tüm sürümleri FortiWeb 7.0.0 veya sonraki sürümlerine, 6.3.17 veya sonraki sürümlerine, 6.2.7 veya sonraki sürümlerine, 6.1.3 veya sonraki sürümlerine ve 6.0.8 veya sonraki sürümlerine yükseltilmesi gerekliliği belirtilmiştir. Zafiyetler ile alakalı gerekli güncellemeler dışında, geçici herhangi bir öneri bulunmamaktadır, hızlıca güncellemeler planlanıp, uygulanmalıdır. FortiWeb'i etkileyen zafiyetin referans numarasından anlaşıldığı üzere 2021 yılında çıkan zafiyet henüz kapatılabilmiştir, bu süre zarfında olağan ihlaller göz önünde bulundurulmalıdır.

Carbon Black App Control Kritik Zafiyeti

VMware, Carbon Black App Control Windows versiyonlarının çeşitli sürümlerini etkileyen kritik bir zafiyet için güncelleme yayınladı. Şirket bu zafiyetin temel işletim sistemine erişim elde etmek için kullanılabileceği konusunda uyardı. Carbon Black App Control, şirketlerin uç noktalarının yalnızca güvenilir ve onaylanmış yazılımları kullanmalarına imkan sağlayan bir üründür. CVE-2023-20858 referans numarası ile takip edilen zafiyet, App Control yönetim konsoluna ayrıcalıklı erişimi olan bir saldırganın, özel hazırlanmış girdi ile işletim sistemine erişmesine izin vermektedir. Bu sayede uç sistemlerin ve zafiyetli tüm istemcilerin tamamen ele geçirmesine yol açabilir. CVE-2023-20858 zafiyetinden etkilenen sürümler; 8.7.x 8.8.x 8.9.x Carbon Black App Control 8.9.4, 8.8.6 ve 8.7.8 sürümlerine yükseltilmesi gerekir.(https://www.vmware.com/security/advisories/VMSA-2023-0004.html) Üretici şirket, dolaylı bir çözüm veya kaçınma tavsiyesi vermemiştir, tek çözüm olarak güncellemelerin hızlıca planlanıp uygulanması gerekmektedir.

GoDaddy Güvenlik İhlali

Web hosting sağlayıcısı GoDaddy, kaynağı belli olmayan uzun süreli bir saldırı aldığını, bu saldırıda kaynak kodlarının çalındığını ve sunucularına zararlı yazılım yüklendiği bir ihlale maruz kaldığını belirtti. GoDaddy saldırıları ilk olarak Aralık 2022'de bazı müşteri sitelerinin rastgele alanadlarına yönlendirilmek için kullanıldığını fark etti, fakat daha sonra saldırganların şirket ağına birkaç yıl boyunca izinsiz erişim sağladıkları anlaşıldı. Şirket, daha önce Kasım 2021 ve Mart 2020'de açıkladığı ihlallerin de bu saldırı ile bağlantılı olduğunu belirtiyor. Kasım 2021'de saldırganlar güvenliği ihlal edilmiş bir parola ile GoDaddy'nin Wordpress hosting ihlali sonrasında 1.2 milyon Wordpress müşterisi etkilenmişti. Mart 2020'de ise saldırganların web hosting kimlik bilgilerini SSH yoluyla hosting hesaplarına bağlanmak için kullandığı konusunda 28.000 müşterisini uyarmıştı. Şirket, yaptığı araştırmalarda saldıran grubun farklı hosting firmalarını da hedeflediği konusunda uyarıda bulundu. Saldırganların bu ihlal ile amaçlarının kimlik avı kampanyaları, zararlı yazılım dağıtımı ve illegal faaliyetler için sunuculara ve web sitelerine zararlı yazılım bulaştırmak olduğu düşünülüyor.

GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

ABD'deki en büyük hastane zincirlerinden birisi, siber saldırganların GoAnyWhere MFT yazılımındaki bir güvenlik açığından faydalanarak 1 Milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi.  GoAnyWhere MFT, yönetilebilir dosya transfer ürünüdür. Güvenlik zafiyeti CVE-2023-0669 referans numarası ile takip edilebilir. Üretici, ürünün normal şartlarda dışarıdan erişime kapalı olması gerektiği ve zafiyetten etkilenenlerin ürün yönetim konsolunu dışarı açtıkları için ihlal yaşadıklarını belirtiyor.  Clop fidye zararlı yazılım grubu ise, bu zafiyetten faydalanarak 130'dan fazla şirketten verilerini çaldıklarını iddia ediyor. Hızlıca yapılan bir tarama ile 136 şirketin ürününe dışarıdan erişimin açık olduğu görülüyor. CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) ise ABD federal kurumlarına 3 Mart'a kadar yama yapmaları konusunda emir verdi.