ISR Bilgi Güvenliği - Blog: microsoft zeroday

microsoft zeroday etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

30 Eylül 2024

Siber Güvenlik Bülteni - Eylül 2024

Bültenimizin Eylül Ayı konu başlıkları;

SonicWall SonicOS ve SSLVPN'de Kritik Zafiyet
Cisco Meraki Systems Manager (SM) Zafiyeti
Microsoft ZeroDay Zafiyetleri
Amerika - Arkansas Şehri Su Arıtma Tesislerine Siber Saldırı
Kia Hack! – Uzaktan Kontrol Edilebiliyor!

SonicWall SonicOS ve SSLVPN'de Kritik Zafiyet

SonicWall, güvenlik araştırmacılarının fidye yazılımı saldırılarında aktif olarak kullanıldığını belirttiği kritik bir güvenlik açığını gidermeleri için müşterilerine güvenlik duvarlarını güncellemeleri çağrısı yaptı.

CVSS 9.3 olarak derecelendirilen güvenlik açığı (CVE-2024-40766), firma tarafından ilk olarak 22 Ağustos'ta yayımlandı, 6 Eylül'de yapılan bir güncellemede ise açığın aktif olarak istismar edildiğini belirtti.

SonicWall SonicOS yönetim erişimi ve SSLVPN’de, yetkisiz kaynak erişimine ve belirli koşullarda güvenlik duvarının çökmesine yol açabilecek uygunsuz bir erişim kontrolü güvenlik açığı tespit edildi.

Bu sorun, SonicWall Gen 5 ve Gen 6 cihazları ile SonicOS 7.0.1-5035 ve önceki sürümlerini çalıştıran Gen 7 cihazlarını etkiliyor.

Araştırmacılar, Akira fidye yazılımı işbirlikçilerinin saldırılarının başlangıç vektörü olarak SonicWall cihazlarındaki SSLVPN hesaplarını ele geçirdiğini ve kullandığını belirtti.

Araştırmacılardan birinin açıklamasına göre her bir sistemde, ele geçirilen hesaplar merkezi bir kimlik doğrulama çözümü (Microsoft Active Directory gibi) ile entegre olmaktan ziyade cihazların kendisinde yer aldığı görüldü. Ayrıca, tüm ele geçirilen hesaplar için MFA (çok faktörlü kimlik doğrulama)'nın devre dışı bırakıldığı ve etkilenen cihazlardaki SonicOS yazılımı CVE-2024-40766’ya karşı savunmasız bilinen sürümler arasında olduğu belirtildi.

Uzmanlar, en son SonicOS yazılımına yükseltmenin yanı sıra, yerel olarak yönetilen SSLVPN hesapları için MFA'yı etkinleştirmeyi ve Gen5 ile Gen6 cihaz sahiplerinin/ yöneticilerinin her hesap için parolalarını güncellemelerini tavsiye etti.
.
Geçtiğimiz Pazartesi günü bu açık CISA’nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na eklendi ve federal ajanslara bu açığı 30 Eylül'e kadar yamalama talimatı verildi.

Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

Bizi arayın: 0216 450 25 94
[email protected]

Cisco Meraki Systems Manager (SM) Zafiyeti

Cisco Systems, Windows için Cisco Meraki Systems Manager (SM) Agent'ta bir güvenlik açığı ile ilgili kritik bir güvenlik belgesi yayımladı.

CVE-2024-20430 olarak tanımlanan bu açık, yetkili yerel saldırganların yükseltilmiş ayrıcalıklarla rastgele kod yürütmesine olanak tanıyor. CVSS puanı 7.3 olan bu güvenlik açığı, yüksek derecede ciddiyet taşıyor ve etkilenen sistemler için önemli bir risk oluşturuyor.

Güvenlik açığı, çalışma zamanında dizin arama yollarının yanlış işlenmesinden kaynaklanıyor. Bu açık, düşük ayrıcalıklara sahip bir saldırganın, kötü niyetli yapılandırma ve DLL dosyalarını sisteme yerleştirerek sistemi kötüye kullanmasına olanak tanıyor.

Cisco Meraki SM, başlatıldığında bu dosyaları okuyor ve çalıştırıyor, bu da saldırgana SISTEM düzeyinde ayrıcalıklar sağlayabilir.

Kullanıcılara, riski azaltmak için yazılım güncellemelerini uygulamaları şiddetle tavsiye ediliyor.

Cisco Meraki, sorunu çözen güncellemeleri yayımladı ve kullanıcıların Cisco Meraki SM Agent for Windows Sürüm 4.2.0 veya daha yenisine güncelleme yapmaları öneriliyor.

Etkilenen Ürünler

Bu güvenlik açığı, özellikle Windows için Cisco Meraki SM Agent'ı etkiliyor. Cisco, Mac için SM Agent'ın etkilenmediğini doğruladı.

Düzeltilmiş Yazılım ve Öneriler

Cisco Meraki, bu güvenlik açığını gidermek için ücretsiz yazılım güncellemeleri sağladı. Müşteriler, bu güncellemeleri indirmek için geçerli bir lisansa sahip olmalı ve güncellemeler Meraki Dashboard üzerinden temin edilebiliyor.

Cisco'nun bu güvenlik açığını ele almak için proaktif adımları, dijital dünyada sürekli değişen güvenlik tehditleri karşısında sağlam güvenlik uygulamalarının önemini ortaya koyuyor.

Microsoft ZeroDay Zafiyetler

Microsoft’un Eylül 2024 Patch Tuesday güncellemesi, dört sıfır gün açığı ve çeşitli ürünlerde toplamda 79 güvenlik açığını ele aldı.

CVE-2024-43491: Microsoft Windows Update Uzaktan Kod Yürütme (RCE) Açığı
Bu güvenlik açığı, Windows 10 sürüm 1507'nin servis yığını etkileyerek, önceki güvenlik düzeltmelerinin geri alınması nedeniyle uzaktan kod yürütmeye olanak tanır. Kullanıcı etkileşimi olmadan ağ üzerinden istismar edilebildiği için oldukça tehlikelidir. Microsoft, bu güvenlik açığının aktif olarak istismar edilmediğini belirtse de, geçmiş yamaların geri alınma potansiyeli nedeniyle önemli bir tehdit oluşturur.

CVE-2024-38014: Windows Installer Yetki Yükseltme Açığı
Bu sıfır gün açığı, saldırganların Windows Installer'daki uygunsuz yetki yönetimini kullanarak SISTEM düzeyinde ayrıcalıklar elde etmesine olanak tanır. Canlı ortamda aktif olarak istismar edildiği için acil yamalanması gerekmektedir.

CVE-2024-38226: Microsoft Publisher Güvenlik Özelliği Atlatma Açığı
Bu güvenlik açığı, Microsoft Publisher'da makro politikalarının atlatılmasına olanak tanıyarak güvensiz dosyaların çalıştırılmasına yol açabilir. Başarılı bir istismar kullanıcı etkileşimi gerektirir, ancak aktif olarak istismar edilmiştir ve bu da riskini artırmaktadır.

CVE-2024-38217: Windows Mark of the Web Güvenlik Özelliği Atlatma Açığı
Bu hata, saldırganların internetten indirilen dosyalar için güvenlik uyarılarını atlatmasına olanak tanır, bu da kötü niyetli dosyaların çalıştırılmasına yol açabilir. Kamuya açıklanmış ve canlı ortamda istismar edilmiş olup, sıklıkla fidye yazılımı saldırılarıyla ilişkilendirilmektedir.

Genel Güvenlik Açığı Dağılımı

Toplam Düzeltme Yapılan Güvenlik Açığı: 79

Kritik Güvenlik Açıkları: 7
Kategoriler:
Yetki Yükseltme: 30
Uzaktan Kod Yürütme: 23
Güvenlik Özelliği Atlatma: 4
Bilgi Açığa Çıkması: 11
Hizmet Engelleme (DoS): 8
Kimlik Sahteciliği: 3

Bu Patch Tuesday güncellemesinde ele alınan güvenlik açıkları, zamanında yama yönetiminin önemini vurgulamaktadır. Kuruluşlar ve bireysel kullanıcılar, potansiyel riskleri azaltmak için bu güncellemeleri derhal uygulamalıdır. Özellikle uzaktan kod yürütme ve yetki yükseltme gibi kritik güvenlik açıkları, sistem güvenliği ve veri bütünlüğü açısından önemli tehditler oluşturmaktadır.

Güvenlik uzmanları, yalnızca yamaların uygulanmasının değil, aynı zamanda kullanıcıların güvenilmeyen kaynaklardan dosya indirme ve çalıştırma riskleri konusunda eğitilmesinin önemini vurgulamaktadır.

Amerika - Arkansas Şehri Su Arıtma Tesislerine Siber Saldırı

A.B.D. Kansas'taki Cowley County'de bulunan küçük bir şehir olan Arkansas City, Pazar sabahı tespit edilen bir siber saldırıyı kontrol altına almak amacıyla hafta sonu su arıtma tesisini manuel operasyonlara geçirmek zorunda kaldı.

Şehir yetkilileri olayı ilgili mercilere bildirdi ve yerel basına göre, İç Güvenlik ve FBI ajanları incelemelere başladı. Arkansas şehri yöneticisi Randy Frazer, su tedarikinin güvenli olduğunu ve siber saldırının su arıtma işlemlerini etkilemediğini doğruladı.

Frazer, hafta sonu yayınlanan açıklamasında, "Tedbir olarak, Su Arıtma Tesisi manuel operasyonlara geçirilmiştir. Durum çözülene kadar şehrin kontrolü tam anlamıyla sağlanmıştır ve içme suyu güvenlidir." dedi.

Hükümet yetkilileri ve siber güvenlik uzmanları, şehrin su tesisini normal operasyonlara geri döndürmek için "durumu çözmek" üzere çalışıyor. Şehir ayrıca güvenliği artırılmış tedbirler aldığını ve su kalitesinde ya da hizmette herhangi bir değişiklik beklenmediğini belirterek kullanıcılara güven sağlamaya çalıştı.

Cumartesi günü şehir, bazı pompalarla ilgili sorunlar yaşadığını ve sakinlere hafta sonu ve muhtemelen Pazartesi günü düşük su basıncı yaşayabileceklerini bildirdi.

ABD Su Sektörüne Yönelik Saldırılardan Özetler

Arkansas City su tesisi, Water Information Sharing and Analysis Center (WaterISAC) adlı kar amacı gütmeyen bir kuruluşun, Rusya bağlantılı tehdit aktörlerinin su sektörünü hedef aldığı konusunda TLP tehdit uyarısı yayımlamasından iki gün sonra saldırıya uğradı.

Bu olaydan bir gün önce, ABD Çevre Koruma Ajansı (EPA), su ve atık su sistemlerinin (WWS) siber güvenlik uygulamalarını değerlendirmeleri ve siber saldırılara karşı maruziyetlerini azaltmaya yönelik önlemleri belirlemelerine yardımcı olmak için rehberlik yayımladı.

Son yıllarda, İran ve Çin destekli devlet grupları da ABD su sistemlerini hedef aldı ve ihlal etti. Örneğin, Volt Typhoon hacker'ları, içme suyu sistemleri de dahil olmak üzere kritik altyapı kuruluşlarının ağlarına sızarken, İran Devrim Muhafızları bağlantılı tehdit aktörleri Pennsylvania'daki bir su tesisine girdi.

Son on yılda ABD'deki Su ve Atık Su Sistemleri (WWS) tesisleri, Güney Houston'daki bir atık su arıtma tesisini, 2016'daki eski yazılım ve donanım ekipmanına sahip bir su şirketini ve 2020 Ağustos'unda Güney Kaliforniya Camrosa Su Bölgesi'ni hedef alan Ghost, ZuCaNo ve Makop fidye yazılımı saldırılarıyla birkaç kez ihlal edildi.

Kia Hack! – Uzaktan Kontrol Edilebiliyor!

Araştırmacılar, Kia Web Portalında milyonlarca arabayı takip etmelerine, kapıların kilidini açmalarına ve motorları istedikleri zaman çalıştırmalarına olanak tanıyan bir zafiyet buldu.

Otomobil üreticisi, bağımsız güvenlik araştırmacılarının konuyu bildirmesinin ardından bu sorunu düzeltti.

Kia Araçlarının Uzaktan Kontrolü

Bu açık, aynı araştırma grubunun son yıllarda keşfettiği diğer sorunlara benzer bir yapıda, zafiyetin modern bağlantılı araçların siber saldırılara karşı savunmasızlığına ilişkin endişeleri artırması da muhtemeldir.

26 Eylül'de yayımlanan bir raporda, bağımsız araştırmacı Sam Curry, Kia'daki bu güvenlik açığını, birkaç yıl önce kendisinin ve meslektaşlarının Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes ve diğer markaların araçlarında bulduğu çok sayıda açık üzerine yaptığı araştırmalar sırasında keşfettiğini söyledi.

Araştırmacılar, o dönem araçların uzaktan kilitlenip açılmasını, motorun çalıştırılıp durdurulmasını, far ve kornanın etkinleştirilmesini sağlayan komutların kullanılabileceğini gösterdi. Bazı açıklardan faydalanan bir saldırgan, araç sahibinin hesabını ele geçirip yönetim dışı bırakabilirken, diğerleri aracın kamerasına uzaktan erişim sağlıyor ve aracın içinden canlı görüntü izlenebiliyordu. Bazı hack girişimlerinde, saldırganın sadece araç kimlik numarası ya da bazen sahibinin e-posta adresine sahip olması yeterli oluyordu.

Otomotiv API Protokollerindeki Sorun

Curry ve ekibinin bulduğu yeni sorun, Kia otomobillerindeki internetten araca komut gönderme işlevlerini mümkün kılan uygulama programlama arayüzü (API) protokollerinden kaynaklanıyordu.

Araştırmacılar, bir Kia bayisi hesabı kaydetmenin ve bunu doğrulamanın oldukça kolay olduğunu keşfetti. Bu doğrulama ile bayilere ayrılmış API'lere erişerek araç ve hesap arama, sahip kaydı gibi işlevler gerçekleştirilebiliyordu.

Bir süre deneme yaptıktan sonra, araştırmacılar bayiye ait API'leri kullanarak araç plaka bilgilerini girip, aracın ana işlevlerini kontrol etmelerini sağlayan verileri elde edebildiklerini fark etti. Bu işlevler arasında motorun uzaktan çalıştırılıp durdurulması, kapıların kilitlenip açılması, farların ve kornanın etkinleştirilmesi ve aracın tam konumunun belirlenmesi gibi özellikler bulunuyordu.

Ayrıca, araç sahibinin kişisel bilgilerinin (PII) elde edilmesi ve kendilerini asıl hesap sahibi olarak kaydetmeleri de mümkündü. Bu, sahibine sunulan tüm işlevlerin kontrolünü ele geçirmeleri anlamına geliyordu. Sorun, 2013’ten 2025’e kadar birçok Kia modelini etkiledi. Daha eski araçlarda araştırmacılar, sadece plaka bilgilerini girerek 30 saniye içinde aracın uzaktan kontrol edilebileceğini gösteren bir araç geliştirdiler.

Araçların Siber Güvenliğiyle İlgili Rahatsız Edici Bir Durum

Kia'daki hack haberi, bağlantılı araçlarla ilgili artan güvenlik endişelerini daha da artırıyor. Bu yılın başlarında, iki üst düzey ABD'li senatör, General Motors, Honda ve Hyundai'yi, araç sahipleri ve onların hareketleri hakkında geniş çaplı veri topladıkları gerekçesiyle eleştirmişti. Senatörler Ron Wyden (D-Ore.) ve Edward Markey (D-Mass.), bu veri toplama uygulamalarının, otomobil üreticilerinin daha fazla denetime ve gözetim altına alınması gerektiğini ortaya koyan endüstri genelinde bir sorun olduğuna dikkat çekmişti.

Eskiden insanlar, araçlarının anahtarlarının çalınmasından endişe ederken, şimdi ise araç üreticilerinin akıllı araçlarına ne kadar iyi sahip çıkacağı konusunda kaygılanıyorlar. Akıllı araçların hayatımıza hızla büyük bir yer edineceği kaçınılmaz, ancak bu hızlı entegrasyonun getirdiği sorumluluk ve yük yine tüketicinin omuzlarına binecek gibi görünüyor. Teknolojinin getirdiği bu yenilikler heyecan verici olsa da, beraberinde getirdiği güvenlik ve mahremiyet endişeleri de göz ardı edilemez.

Ve Tüm Bu Siber Saldırılara Karşı
TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?

Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

Bizi arayın: 0216 450 25 94
[email protected]

En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.