Siber Güvenlik Bülteni - Aralık 2025

 

Bültenimizin Aralık Ayı konu başlıkları;  5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama  GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu 2025 Ransomware Saldırıları Özeti

5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı. Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir. Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti: “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.” Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir. Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti: FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimi, SSL VPN veya IPSEC VPN) Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar: 2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır. Fortinet durumu şöyle açıklıyor: “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.” Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar: Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur. Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir. Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır: FortiOS 6.0.10 FortiOS 6.2.4 FortiOS 6.4.1 Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir: set username-case-sensitivity disable FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir: set username-sensitivity disable Fortinet’e göre: “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.” Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur. Ancak, yeni yayımlanan rehber, saldırıların doğası, kapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi. 2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı. Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi. Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor. Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir. Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır. Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir. Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir. Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı. Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor. Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor. Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor. Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor. Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor. İlk yüksek seviye zafiyet olan CVE-2025-13659, dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir. Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir. İkinci yüksek seviye zafiyet CVE-2025-13661, path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir. Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor. CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir. Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil. Veri setinde yer alan koleksiyonlar şunlar: intent – 2.054.410.607 kayıt (604,76 GB) profiles – 1.135.462.992 kayıt (5,85 TB) unique_profiles – 732.412.172 kayıt (5,63 TB) people – 169.061.357 kayıt (3,95 TB) sitemap – 163.765.524 kayıt (20,22 GB) companies – 17.302.088 kayıt (72,9 GB) company_sitemap – 17.301.617 kayıt (3,76 GB) address_cache – 8.126.667 kayıt (26,78 GB) intent_archive – 2.073.723 kayıt (620 MB) En az üç koleksiyon, yaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor. “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı. Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir. Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setleri, oltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesine, hazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

2025 Ransomware Saldırıları Özeti

2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtan, ulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor. 2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırken, fidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı. Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler 2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor. Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion), yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı. Kritik Sektörler Hedefte 2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü. Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı. Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda. Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar 2025’te fidye yazılımı sahnesi yeniden şekillendi: Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi. Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi. LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi. Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler. Veri Sızdırma Siteleri: Psikolojik Baskı Aracı 2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi. 2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2024

 

Bültenimizin Mayıs Ayı konu başlıkları;  Check Point VPN Hedef Alınıyor İvanti EPM Zafiyeti HPE ArubaOS RCE Zafiyeti F5 Next Centeral Manager Zafiyeti Citrix Netscaler ADC ve Gateway Zafiyeti

Check Point VPN Hedef Alınıyor

Tehdit aktörleri, Check Point firmasının Pazartesi günü yayınladığı bir uyarıya göre, işletme ağlarına sızmak amacıyla Check Point Remote Access VPN cihazlarını hedef alıyor. Remote Access, tüm Check Point ağ güvenlik duvarlarına entegre edilmiştir. VPN istemcileri aracılığıyla kurumsal ağlara erişim için VPN olarak yapılandırılabilir veya web tabanlı erişim için bir SSL VPN Portalı olarak kurulabilir. Check Point, saldırganların yalnızca parola ile yapılan güvensiz kimlik doğrulaması kullanan eski yerel hesapları hedef aldığını ve ihlalleri önlemek için bu yöntemin sertifika kimlik doğrulaması ile birlikte kullanılması gerektiğini belirtiyor. Bu devam eden saldırılara karşı savunma yapmak için, Check Point müşterilerine Quantum Security Gateway ve CloudGuard Network Security ürünlerinde ve Mobile Access ve Remote Access VPN yazılımlarında bu tür savunmasız hesapları kontrol etmeleri konusunda uyarıda bulundu. Cisco VPN cihazları da yoğun şekilde hedef alınıyor Check Point, son aylarda VPN cihazlarının devam eden saldırılarda hedef alındığına dair uyarıda bulunan ikinci şirket oldu. Nisan ayında, Cisco da VPN ve SSH hizmetlerini hedef alan yaygın kimlik bilgisi brute-forcing saldırıları hakkında uyardı; bu saldırılar Cisco, Check Point, SonicWall, Fortinet ve Ubiquiti cihazlarını hedef alıyor. Bir ay önce, Cisco, Remote Access VPN (RAVPN) hizmetlerini çalıştıran Cisco Secure Firewall cihazlarını hedef alan bir dizi parola sprey saldırısı hakkında uyardı; bu saldırılar muhtemelen birinci aşama keşif faaliyetinin bir parçasıydı. Geçen ay, şirket ayrıca UAT4356 (diğer adıyla STORM-1849) en azından Kasım 2023'ten bu yana dünya genelindeki hükümet ağlarına sızmak için Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarında sıfırıncı gün hatalarını kullandığını ve ArcaneDoor olarak izlenen bir siber casusluk kampanyasını yürüttüğünü açıkladı.  Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

İvanti EPM Zafiyeti

Ivanti, belirli koşullar altında uzaktan kod yürütme sağlamak için kullanılabilecek Endpoint Manager (EPM) içindeki birden fazla kritik güvenlik açığını gidermek için düzeltmeler yayınladı. On güvenlik açığından altısı – CVE-2024-29822 ile CVE-2024-29827 arasında (CVSS puanları: 9.6) – SQL enjeksiyonu hatalarıyla ilgilidir ve aynı ağdaki kimliği doğrulanmamış bir saldırganın rastgele kod çalıştırmasına olanak tanır. Kalan dört hata -- CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 ve CVE-2024-29846 (CVSS puanları: 8.4) -- aynı kategoriye girer, ancak bu hatalar için saldırganın kimlik doğrulaması gerekmektedir. Bu eksiklikler, Ivanti EPM sürüm 2022 SU5 ve öncesindeki Core sunucusunu etkiler. Şirket ayrıca, özel olarak hazırlanmış bir dosya yükleyerek bir saldırganın uzaktan kod yürütmesini sağlayabilecek yüksek dereceli bir güvenlik açığını Avalanche sürüm 6.4.3.602'de (CVE-2024-29848, CVSS puanı: 7.2) gidermiştir. Ayrıca, beş diğer yüksek dereceli güvenlik açığı için de yamalar yayınlanmıştır: Neurons for ITSM'deki bir SQL enjeksiyonu (CVE-2024-22059) ve bir sınırsız dosya yükleme hatası (CVE-2024-22060), Connect Secure'deki bir CRLF enjeksiyonu hatası (CVE-2023-38551) ve Windows (CVE-2023-38042) ve Linux (CVE-2023-46810) için Secure Access istemcisindeki iki yerel ayrıcalık yükseltme sorunu. Ivanti, hataların vahşi doğada istismar edildiğine dair bir kanıt olmadığını veya bunların bir tedarik zinciri saldırısı yoluyla kötü niyetli olarak kod geliştirme sürecimize dahil edildiğine dair bir kanıt olmadığını vurguladı. Bu gelişme, Netflix tarafından geliştirilen Genie açık kaynaklı büyük veri düzenleme ve yürütme motorunun açık kaynağındaki (CVE-2024-4701, CVSS puanı: 9.9) kritik bir hatayla ilgili ayrıntılar ortaya çıktığında geldi; bu hata, uzaktan kod yürütmeye yol açabilir. Bir yol geçişi güvenlik açığı olarak tanımlanan eksiklik, dosya sisteminde rastgele bir dosya yazmak ve rastgele kod yürütmek için kullanılabilir. Yazılımın 4.3.18 öncesi tüm sürümlerini etkiler. Sorun, Genie'nin REST API'sinin kullanıcı tarafından sağlanan bir dosya adını talebin bir parçası olarak kabul edecek şekilde tasarlanmasından kaynaklanır ve bu da kötü niyetli bir aktörün, varsayılan ek depolama yolundan çıkmasını ve belirtilen bir yola herhangi bir kullanıcı tarafından belirlenmiş adla bir dosya yazmasını sağlayacak bir dosya adı oluşturmasına olanak tanır.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

HPE ArubaOS RCE Zafiyeti

HPE Aruba Networking, ArubaOS olarak bilinen özel ağ işletim sisteminin birçok sürümünü etkileyen kritik uzaktan kod yürütme (RCE) açıklarını yayınladı. Üretici, dört tanesi kritik öneme sahip (CVSS v3.1: 9.8) uzaktan kod yürütme (RCE) ile sonuçlanabilecek kimlik doğrulamasız tampon taşma sorunları olan on güvenlik açığını listeledi. Yeni açıklanan açıklar tarafından etkilenen ürünler şunlardır: HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways ve Aruba Central tarafından yönetilen SD-WAN Gateways. ArubaOS 10.5.1.0 ve altı, 10.4.1.0 ve daha eski, 8.11.2.1 ve altı, ve 8.10.0.10 ve daha eski sürümler. EoL (Son Kullanım Tarihi) aşamasına gelmiş tüm ArubaOS ve SD-WAN sürümleri. Bu, 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 altındaki ArubaOS sürümleri ve SD-WAN 2.3.0 ile 8.7.0.0 ve 2.2 ile 8.6.0.4 arasındaki sürümleri içerir. Dört kritik uzaktan kod yürütme açığı şunlardır: CVE-2024-26305 – ArubaOS'un Utility daemon'unda, PAPI (Aruba'nın erişim noktası yönetim protokolü) UDP portuna (8211) özel olarak hazırlanmış paketler göndererek kimliği doğrulanmamış bir saldırganın uzaktan rastgele kod yürütmesine izin veren bir hata. CVE-2024-26304 – L2/L3 Yönetim servisinde, PAPI UDP portuna özel hazırlanmış paketler göndererek kimliği doğrulanmamış uzaktan kod yürütmeye izin veren bir hata. CVE-2024-33511 – Kimliği doğrulanmamış saldırganların rastgele kod yürütmesine izin vermek için PAPI protokol portuna özel olarak hazırlanmış paketler göndererek yararlanılabilecek Otomatik Raporlama servisindeki bir güvenlik açığı. CVE-2024-33512 – PAPI protokolü üzerinden erişilen Yerel Kullanıcı Kimlik Doğrulama Veritabanı servisindeki bir tampon taşma hatasını kullanarak kimliği doğrulanmamış uzaktan saldırganların kod yürütmesine izin veren bir hata. Bu açıkları hafifletmek için, üretici Enhanced PAPI Security'yi etkinleştirmeyi ve ArubaOS'un yamalı sürümlerine yükseltmeyi önerir. En son sürümler ayrıca, savunmasız cihazlarda hizmet reddine neden olabilecek ve maliyetli operasyonel kesintilere yol açabilecek kimliği doğrulanmamış saldırganların neden olabileceği altı adet "orta" dereceli (CVSS v3.1: 5.3 – 5.9) başka güvenlik açığını da ele alır. Tüm bu on hatayı gideren hedef yükseltme sürümleri şunlardır: ArubaOS 10.6.0.0 ve üstü ArubaOS 10.5.1.1 ve üstü ArubaOS 10.4.1.1 ve üstü ArubaOS 8.11.2.2 ve üstü ArubaOS 8.10.0.11 ve üstü

F5 Next Centeral Manager Zafiyeti

F5 Next Central Manager'da keşfedilen iki güvenlik açığı, bir tehdit aktörünün cihazların kontrolünü ele geçirmesini ve sürekli erişim için gizli sahte yönetici hesapları oluşturmasını sağlayabilecek şekilde istismar edilebilir. İki sorunun tanımı şu şekildedir: CVE-2024-21793 (CVSS puanı: 7.5) - Bir OData enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP NEXT Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir. CVE-2024-26026 (CVSS puanı: 7.5) - Bir SQL enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP Next Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir. Her iki açık da 20.0.1'den 20.1.0'a kadar olan Next Central Manager sürümlerini etkiler. Kusurlar 20.2.0 sürümünde düzeltilmiştir. Hataların başarılı bir şekilde istismar edilmesi cihazın tam yönetici kontrolüne yol açabilir ve saldırganlara Central Manager tarafından yönetilen herhangi bir BIG-IP Next varlığında yeni hesaplar oluşturma yeteneği sunabilir. Dahası, bu kötü niyetli hesaplar Central Manager'dan kendilerini gizli tutar. Bunun nedeni, belgelenmemiş bir API'yi çağırmayı mümkün kılan bir sunucu taraflı istek sahtekarlığı (SSRF) açığıdır ve bu hesapları oluşturur. Bu zafiyet ile, Central Manager'daki admin şifresi sıfırlandığında ve sistem yamalandığında, saldırgan erişimi hala kalabilir. Güvenlik açıklarının henüz aktif olarak istismar edildiğine dair bir işaret olmasa da, kullanıcıların potansiyel tehditleri en aza indirmek için versiyonlarını en son sürüme güncellemeleri önerilir. Son yıllarda, ağ ve uygulama altyapısı saldırganların ana hedeflerinden biri haline geldi. Bu yüksek ayrıcalıklı sistemleri istismar etmek, saldırganlara bir ortam içinde erişim sağlama, yayılma ve süreklilik sağlama ideal bir yol sunabilir.

Citrix Netscaler ADC ve Gateway Zafiyeti

Citrix, NetScaler Uygulama Teslim Kontrol (ADC) ve Gateway cihazlarında uzaktan, kimlik doğrulaması yapılmamış saldırganların etkilenen sistemlerin belleğinden potansiyel olarak hassas bilgileri elde etmelerini sağlayan bir güvenlik açığını sessizce gidermiş görünüyor. Bu güvenlik açığı, geçen yıl Citrix tarafından açıklanan kritik bir sıfır gün güvenlik açığı olan "CitrixBleed" (CVE-2023-4966) ile neredeyse aynı ancak o kadar ciddi değil. Saldırganlar, CitrixBleed'i fidye yazılımı dağıtmak, bilgi çalmak ve diğer kötü niyetli amaçlar için yaygın bir şekilde istismar ettiler. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), etkilenen kuruluşların sistemlerini yamalı NetScaler sürümlerine hızla güncellemeleri gerektiğini belirten birçok kuruluştan biriydi ve güvenlik açığını hedef alan yaygın saldırı raporlarına atıfta bulundu. Boeing ve Comcast Xfinity, saldırganların hedef aldığı birkaç büyük kuruluş arasında yer aldı. Buna karşılık, Güvenlik araştırmacıları Ocak ayında keşfettiği güvenlik açığı daha az tehlikeliydi çünkü saldırganların bu güvenlik açığı ile yüksek değerli herhangi bir bilgiyi ele geçirmeleri daha az olasıydı. Yine de, NetScaler sürüm 13.1-50.23'teki bu hata, saldırganların etkilenmiş cihazların işlem belleğinden HTTP istek gövdeleri de dahil olmak üzere bazı hassas bilgileri yakalamasına kapı araladı. Citrix, hatayı 13.1-51.15 sürümünde ele almadan önce bu hatayı ne zaman veya eğer bildirdiyse, bunun hakkında hemen bir açıklama yapmadı. CitrixBleed'de olduğu gibi, bu güvenlik açığı, NetScaler bileşenlerinin uzaktan erişim ve kimlik doğrulama, yetkilendirme ve denetim (AAA) sunucuları olarak kullanıldığında etkiledi. Özellikle, güvenlik araştırmacıları, Gateway ve AAA sanal sunucusunun HTTP ana bilgisayar istek başlıklarını güvensiz bir şekilde işlediğini buldu; bu, CitrixBleed'in de temel nedeniydi. Uzmanların kanıt kodu, uzak bir saldırganın güvenlik açığını potansiyel olarak yararlı bilgileri elde etmek için nasıl kullanabileceğini gösterdi. Uzmanlar, etkilenen NetScaler sürümünü çalıştıran kuruluşlara sürüm 13.1-51.15 veya sonrasına geçmelerini önerdi.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.