Siber Güvenlik Bülteni - Mart 2024

 

Bültenimizin Mart Ayı konu başlıkları;  Lockbit, Saldırılarına Tekrar Başladı QNAP NAS Cihazlarında Kritik Hata Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

Lockbit, Saldırılarına Tekrar Başladı

LockBit fidye yazılımı çetesi, geçen ay yapılan uluslararası yasal müdahaleden sonra, güncellenmiş şifreleyiciler kullanarak yine saldırılar düzenlemeye başladı. NCA, FBI ve Europol'un LockBit fidye yazılımı operasyonu 'Operasyon Cronos' adı verilen koordineli bir müdahale ile geçen ay gerçekleştirilmişti. Bu operasyon kapsamında, yasal yetkililer altyapıyı ele geçirirken, şifre çözücüler kurtarıldı ve fidye yazılımı çetesinin veri sızıntısı sitesi, polis tarafından basın portalına dönüştürüldü. Bunun üzerine kısa bir süre sonra LockBit yeni bir veri sızıntısı sitesi kurdu ve FBI'a hitaben uzun bir not bıraktı; burada yasal yetkililerin sunucularına bir PHP hatası kullanarak sızdığını iddia etti. Yeniden markalaşmak yerine, operasyon genelinde saldırılardan kaçınmak ve şifre çözücülere erişimi engellemek için güncellendirilmiş altyapı ve yeni güvenlik mekanizmalarıyla geri döneceklerini de açıkladılar. LockBit'in yeni altyapıları için yeni veri sızıntısı ve müzakere siteleri kurarak saldırılarına devam ettiği görünüyor. Zscaler tarafından ilk olarak bildirildiği gibi, fidye yazılımı çetesi, şifreleyicilerin fidye notlarını yeni altyapılarında Tor URL'leriyle güncelledi. Güncellenmiş fidye notlarını içeren örneklerin VirusTotal'e yüklendiği de doğrulandı. LockBit kapatıldığında, fidye yazılımı operasyonunun yaklaşık 180 ortağı vardı. Kaçının hala Hizmet Olarak Fidye Yazılımı (RaaS) ile çalıştığı bilinmiyor. Ancak, LockBit şimdi deneyimli pentester'ları tekrar operasyonlarına katılmaya aktif olarak davet ediyor ve bu çağrı muhtemelen gelecekteki saldırıların artmasına neden olacaktır. LockBit'in yavaşça silinip Conti gibi yeniden markalaşma planının bir parçası olup olmadığı henüz bilinmiyor. Ancak şu anda, LockBit'in hala bir tehdit olmaya devam ettiği dikkate alınmalıdır. Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

QNAP NAS Cihazlarında Kritik Hata

QNAP, QTS, QuTS hero, QuTScloud ve myQNAPcloud dahil NAS yazılım ürünlerinde bulunan ve saldırganların cihazlara erişmesine izin verebilecek güvenlik açıklarına dikkat çekiyor. NAS cihazı üreticisi QNAP, bir kimlik doğrulama atlatması, komut enjeksiyonu ve SQL enjeksiyonuna yol açabilen üç açığı açıkladı. Son iki açık, saldırganların hedef sistemde kimlik doğrulaması yapmalarını gerektirse de, riski önemli ölçüde azaltırken, bildirilen ilk açık (CVE-2024-21899) kimlik doğrulaması olmadan uzaktan yürütülebilir ve "düşük karmaşıklık" olarak bildirilmiştir. Düzeltilen üç zafiyet ise şunlardır: CVE-2024-21899: Uygun olmayan kimlik doğrulama mekanizmaları, yetkisiz kullanıcıların ağı kullanarak sistemin güvenliğini tehlikeye atmasına izin verir (uzaktan). CVE-2024-21900: Bu güvenlik açığı, kimlik doğrulama yapılmış kullanıcılara, ağı kullanarak sistemde keyfi komutlar yürütme olanağı sağlayabilir ve bu da yetkisiz sistem erişimine veya kontrolüne yol açabilir. CVE-2024-21901: Bu zafiyet, kimlik doğrulama yapılmış yöneticilerin ağı kullanarak kötü amaçlı SQL kodu enjekte etmesine olanak tanıyabilir ve bu da veritabanı bütünlüğünü tehlikeye atabilir ve içeriğini manipüle edebilir. Bu zafiyetler, QNAP'ın QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x ve myQNAPcloud 1.0.x hizmetlerinin çeşitli sürümlerini etkiler. Bu üç zafiyeti barındıran, aşağıdaki sürümler için yükseltme yapılması önerilir: QTS 5.1.3.2578 yapı 20231110 ve sonrası QTS 4.5.4.2627 yapı 20231225 ve sonrası QuTS hero h5.1.3.2578 yapı 20231110 ve sonrası QuTS hero h4.5.4.2626 yapı 20231225 ve sonrası QuTScloud c5.1.5.2651 ve sonrası myQNAPcloud 1.0.52 (2023/11/24) ve sonrası QTS, QuTS hero ve QuTScloud için, kullanıcıların yönetici olarak giriş yapması, 'Kontrol Paneli > Sistem > Yazılım Güncelleme'ye gitmesi ve 'Güncellemeleri Kontrol Et'i tıklaması gerekmektedir. myQNAPcloud'u güncellemek için, yönetici olarak giriş yapın, 'Uygulama Merkezi'ni açın, arama kutusuna tıklayın ve "myQNAPcloud" yazın ve ENTER basın. Güncelleme sonuçlarda görünmelidir. Güncellemeyi başlatmak için 'Güncelle' düğmesine tıklayın. NAS cihazları genellikle veri hırsızlığı ve şantaj amacıyla hedef alınır. Önceki QNAP cihazlarını hedef alan bazı fidye yazılımları operasyonları DeadBolt, Checkmate ve Qlocker'dır. Bu gruplar, bazen tamamen yamalı cihazlara sızmak için sıfır gün saldırılarını kullanarak NAS kullanıcılarına karşı birçok saldırı dalgası başlatmıştır. NAS sahipleri için en iyi tavsiye, yazılımlarını her zaman güncel tutmaktır ve bu tür cihazları İnternet'e açmamaktır. Eğer İnternet'e açmaları gerekiyorsa; Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı

Cisco,  Secure Client adlı kurumsal VPN uygulamasındaki iki yüksek dereceli açığın yamalarını duyurdu. İlk zafiyet, CVE-2024-20337 olarak izlenen, Linux, macOS ve Windows sürümlerini etkileyen Secure Client'a ilişkindir ve kimlik doğrulama olmaksızın uzaktan, taşıma satırı besleme (CRLF) enjeksiyonu saldırılarında kullanılabilir. Kullanıcı tarafından sağlanan girişin yetersiz şekilde doğrulanması nedeniyle, VPN oturumu oluştururken bir kullanıcıyı hileli bir bağlantıya tıklamaya ikna eden bir saldırgan, kurbanın tarayıcısında keyfi komut dosyalarını yürütebilir veya SAML tokenleri gibi hassas bilgilere erişebilir. Cisco'un açıklamasına göre, yalnızca SAML Dış Tarayıcı özelliğiyle yapılandırılmış VPN baş ucu olan Secure Client örnekleri savunmasız durumdadır. Üretici, güvenlik açığını Secure Client sürümleri 4.10.08025 ve 5.1.2.42 ile giderdiğini belirtmiştir. Sürüm 4.10.04065'ten önceki sürümlerin ise savunmasız olmadığı ile ayrıca 5.0 sürümü için yamaların mevcut olmadığı belirtilmiştir. İkinci yüksek ciddiyetli hatada, CVE-2024-20338 olarak izlenen, yalnızca Linux için Secure Client'i etkiler ve başarılı bir saldırı için kimlik doğrulama gerektirir. VPN uygulamasının 5.1.2.42 sürümünde ise bu hatanın düzeltildiği belirtilmiştir. Üretici "Bir saldırgan, kötü niyetli bir kitaplık dosyasını dosya sisteminde belirli bir dizine kopyalayarak ve bir yöneticiyi belirli bir işlemi yeniden başlatmaya ikna ederek bu açığı kullanabilir. Başarılı bir saldırı, saldırganın kök ayrıcalıklarına sahip etkilenen bir cihazda keyfi kod yürütmesine izin verebilir," diye belirtiyor. Cisco ayrıca AppDynamics Controller ve Duo Authentication for Windows Logon ve RDP'de birden fazla orta ciddiyetli hata için yamalar duyurdu, bu da veri sızıntılarına ve ikincil kimlik doğrulama atlamalarına neden olabilir. Küçük İşletme 100, 300 ve 500 AP'lerindeki diğer iki orta ciddiyetli zafiyet ise yamalanmayacak, çünkü bu ürünler ömürlerini tamamlamış durumda (EoL). Ayrıca üretici, bu açıkların hiçbirinin şu anda gerçek dünyada istismar edilmediği yorumunu belirtiyor.

Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor

Çinli siber tehdit aktörleri, son dönemde Ivanti Connect Secure VPN'deki açıkları hedef alarak saldırılarını sürdürüyor ve saldırılarında kalıcılık sağlamak için yeni geliştirilen kötü amaçlı yazılımları kullanıyorlar. Bu açıklar, Volexity'nin üç hafta kadar önce Çinli tehdit aktörlerinin iki tanesini sıfır gün olarak kullandığı uyarısının ardından, 31 Ocak'ta ele alındı. Bir hafta kadar sonra, Ivanti, kurumsal VPN ve ağ erişim ürünlerinde beşinci bir açığı yamaladı. Bu açıkların kanıtı olarak sunulan kodlar hızla yayımlandı ve saldırganlar bunları hemen sömürmeye başladılar. Yama dağıtımından sonra, saldırganlar, Ivanti'nin kurumsal VPN ve ağ erişim cihazlarında SAML bileşeninde bulunan bir sunucu tarafından istek sahteciliği (SSRF) açığı olarak tanımlanan ve CVE-2024-21893 olarak bilinen bir açığı sömürmeye devam ettiler. UNC5325 olarak tanımlanan Çinli bir tehdit aktörü, CVE-2024-21893'ü sömürmek için LittleLamb.WoolTea, PitStop, Pitdog, PitJet ve PitHook gibi yeni kötü amaçlı yazılım ailelerini dağıtmak için gözlemlendi. Kod örtüşmelerine dayanarak, UNC5325'in önceden savunmasız VMware ürünlerini hedef alan Çinli siber casusluk grubu UNC3886 ile ilişkilendirildiği belirlendi. UNC3886, ABD ve APJ bölgelerindeki savunma endüstriyel tabanı, teknoloji ve telekomünikasyon organizasyonlarını hedef aldı. UNC5325'in, Ivanti'nin ürünlerindeki bir komut enjeksiyonu olan CVE-2024-21887 ve CVE-2024-21893'ü birleştirmeye devam ettiği gözlemlendi. İlk erişim sağlandıktan sonra, saldırganlar keşif yapmış ve ters kabuk kurmuşlardır. Saldırganların cihazdan keyfi dosyaları okumalarına izin veren ve Ivanti'nin yerleşik sistem yardımcı programlarını kullanarak tespit edilmeyi önlemek için "cihazın incelikli bir anlayışını" gösteren bir web kabuğunun bir türevi olan BushWalk adlı bir web kabuğunu kullandıkları görüldü. Bazı durumlarda, saldırganlar SparkGateway eklentilerini geri kapılar dağıtmak ve paylaşılan nesneleri kalıcı olarak enjekte etmek için kullandılar. SparkGateway, Ivanti'nin VPN cihazının meşru bir bileşenidir ve uzaktan erişim sağlar. Bu SparkGateway eklentilerinden biri olan PitFuel adlı bir eklenti, LittleLamb.WoolTea adlı paylaşılan nesneyi yüklemek için kullanıldı, ancak kalıcılık denemeleri başarısız oldu. İkinci kötü amaçlı SparkGateway eklentisi olan PitDog, PitHook adlı paylaşılan nesneyi belleğe enjekte ederken ve geri kapı olan PitStop'u sürekli olarak yürütürken görüldü. PitStop, komutları yürütebilir ve değiştirilmiş cihazda dosya okuyabilir ve yazabilir. UNC5325'in TTP'leri ve kötü amaçlı yazılım dağıtımı, sıfır günlerle birlikte kenar altyapısına karşı şüpheli Çin-nexus casusluk aktörlerinin kullandığı yetenekleri sergiliyor. UNC5325'in, Ivanti Connect Secure cihazının önemli bir bilgi birikimine sahip olduğu ve fabrika sıfırları sırasında kalıcı olma girişimlerinde görüldüğü belirtiliyor.

FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

Fortinet, FortiOS, FortiProxy ve FortiClientEMS'deki kritik kod yürütme açıklarını gidermek için güvenlik güncellemelerini yayınladı. İlk zafiyet, CVE-2023-42789 olarak izlenen bir sınır dışı yazma sorunudur (CVSS puanı 9.3). Bu, hassas HTTP istekleri gönderilerek yetkisiz kod veya komutların yürütülmesine olanak tanıyan bir açıktır. Bu zafiyet, Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir. Üretici ayrıca, özel olarak oluşturulmuş HTTP istekleri aracılığıyla yetkisiz kod veya komutların yürütülmesine olanak tanıyan yüksek dereceli bir yığın tabanlı tampon taşma zafiyetini de ele almıştır. Bu zafiyet, CVE-2023-42790 olarak izlenmektedir (CVSS puanı 8.1). Bu zafiyet de Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir. Güvenlik üreticisi ayrıca, DAS bileşenindeki önemli bir yaygın SQL enjeksiyon sorununu da ele almıştır. Bu zafiyet, CVE-2023-48788 olarak izlenmektedir (CVSS puanı 9.3). "Şekillendirilmiş istekler aracılığıyla yetkisiz kod veya komutların yürütülmesine izin verebilecek bir SQL Enjeksiyonu açığı [CWE-89] FortiClientEMS'de bir güvenlik açığı oluşturabilir." şeklinde açıklamada bulunulmuştur. Bu zafiyetten etkilenen sürümler ve bu sorunu ele alan sürümler aşağıda belirtilmiştir: Sürüm                        Etkilenen             Çözüm FortiClientEMS 7.2     7.2.0 ile 7.2.2        7.2.3 veya üstüne yükseltme yapın FortiClientEMS 7.0     7.0.1 ile 7.0.10      7.0.11 veya üstüne yükseltme yapın Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.