oracle zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
oracle zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Kasım 2024

Siber Güvenlik Bülteni - Ekim 2024

 

Bültenimizin Ekim Ayı konu başlıkları; 
    • Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti
    • Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı
    • Palo Alto Networks, PAN-OS Zafiyeti
    • Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 
    • 1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

    Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti.

    FortiManager Güvenlik Zafiyeti Hakkında

    FortiManager, Fortinet’in FortiGate
     güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır.

    Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı.

    CVE-2024-47575 Açığı

    Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi.

    Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı.

    Yeni Tehdit Kümesi UNC5820

    Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir.

    Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır.

    FortiJump: Devlet Destekli Casusluk İddiaları

    Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür.

    FortiManager Güvenlik Açığının Yaygınlığı

    Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor.

    İhlal Göstergeleri ve Güvenlik Önerileri

    CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor.

    Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

    CiscoNisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir.

    Güvenlik açığı hakkında:

    Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir.

    Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı:
    • Cisco Secure Firewall VPN
    • Checkpoint VPN
    • Fortinet VPN
    • SonicWall VPN
    • RD Web Services
    • Miktrotik
    • Draytek
    • Ubiquiti
    Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir.

    Güvenlik açığının tespiti ve giderilmesi:

    Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir:

    firewall# show running-config webvpn | include ^ enable

    Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir.

    Diğer Cisco Güvenlik Açıkları

    Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir.

    Özet:
    • CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9)
    • CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3)

    Ek Bilgiler ve Önerilen Çözümler:

    CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır.

    CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir:

    no ssh stack ciscossh

    Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir.

    CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır.

    CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir:

    zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*

    Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.

    CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

    Palo Alto Networks, PAN-OS Zafiyeti

    Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi.

    Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti.

    Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS)hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır:
    • CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı
    • CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı
    • CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı
    • CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri
    • CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı

    PoC’de Açık İstismar Edildi

    Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı.

    Güncellemeler ve Alınması Gereken Önlemler

    Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor.

    Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır.

    Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.
     

    Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 

    Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor.
    Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:
     
    • MySQL
    • Fusion Middleware
    • Database
    • Enterprise Manager
    • Tedarik Zinciri Ürünleri
    • Finansal Hizmet Uygulamaları
    • İletişim Uygulamaları
    • Perakende Uygulamaları
    • Kamu Hizmetleri Uygulamaları
    • PeopleSoft
    • Siebel
    Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları

    334 güvenlik yamasından 61’ikimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:
     
    • Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    • Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
    Oracle'ın amiral gemisi olan Oracle Database6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.
     
    Oracle’dan Acil Güncelleme Tavsiyesi

    Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.
     
    Güncelleme Süreci İçin İpuçları

    Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir:
    1. Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin.
    2. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın.
    3. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın.
    4. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun.
    Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

    1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

    Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.
     
    Yeni Fidye Yazılımı Gruplarındaki Artış

    Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:
     
    • LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu.
    • PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı.
    • RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi.
    BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.
     
    Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler

    Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor.

    Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.
     
    Devlet Destekli Siber Faaliyetlerin Analizi

    Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:
     
    • Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor.
    • Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda.
    • İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor.
    • Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.
     
    Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.
     

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    31 Temmuz 2023

    Siber Güvenlik Bülteni - Temmuz 2023

     

    Bültenimizin Temmuz Ayı konu başlıkları; 
      • Oracle Kritik Güvenlik Zafiyetlerini Yamaladı
      • Citrix NetScaler ADC ve Gateway'de 3 Yeni Zafiyet
      • Zimbra Sıfırıncı Gün XSS Zafiyetini Yamaladı
      • Bilgi Hırsızlığı İki Kat Arttı
      • Ivanti'de Sıfırıncı Gün Açığı

      Oracle Kritik Güvenlik Zafiyetlerini Yamaladı

       
      Oracle32 ürününde 75 kritik öneme sahip güvenlik açığını dahil toplam 508 yeni güvenlik açığı için yama yayınladı. 350'den fazla güvenlik açığı, kimlik doğrulamasına ihtiyaç olmadan uzaktan kod çalıştırmaya imkan sağlamaktadır.

      Oracle başlıca etkilenen ürünler;
      BI Publisher
      JD Edwards EnterpriseOne
      MySQL
      Oracle Access Manager
      Oracle Agile
      Oracle AutoVue
      Oracle BAM
      Oracle Banking Uygulamaları
      Oracle Business
      Oracle Commerce
      Oracle Communications
      Oracle Database Server
      Oracle Enterprise Uygulamaları
      Oracle Financial Services Uygulamaları
      Oracle FLEXCUBE
      Oracle GoldenGate
      Oracle GraalVM
      Oracle Health Uygulamaları
      Oracle Hyperion
      Oracle HTTP Server
      Oracle NoSQL Database
      Oracle Retail Uygulamaları
      Oracle SD-WAN Edge
      Oracle Solaris
      Oracle Utilities Uygulamaları
      Oracle VM VirtualBox
      Oracle WebCenter
      Oracle WebLogic Server
      PeopleSoft
      Primavera
      Siebel

      Bu ürünler arasında ön plana çıkan ürünler; MySQL (CVE-2023-20862), WebLogic Server (CVE-2023-26119) ve VirtualBox VM (CVE-2023-22018). Bu ürünlerde kimlik doğrulamaya ihtiyaç olmadan uzaktan kod çalıştırmaya olanak sağlamaktadır. Üretici yamaların hızlıca geçilmesini önermekte, eğer yama yapılmayacaksa ağ üzerinden bu ürünlere olan erişimin kısıtlanmasını önermiştir.

      Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Citrix NetScaler ADC ve Gateway'de 3 Yeni Zafiyet

       
      Citrix, güvenli uygulama dağıtımı ve uzaktan erişim çözümlerinde kritik 3 yeni zafiyet tespit edildi. Zafiyetler ile alakalı yamalar yayınlanmadan önce underground forumlar üzerinde zafiyetler ile ilgili istismar kodlarının satıldığı da görüldü.

      Etkilenen ürünler;

      NetScaler ADC ve NetScaler Gateway 13.1, 13.1-49.13 öncesi 
      NetScaler ADC ve NetScaler Gateway 13.0, 13.0-91.13 öncesi 
      NetScaler ADC 13.1-FIPS, 13.1-37.159 öncesi 
      NetScaler ADC 12.1-FIPS, 12.1-65.36 öncesi 
      NetScaler ADC 12.1-NDcPP, 12.65.36 öncesi 

      CVE-2023-3466: Yansıyan (Reflected) XSS güvenlik açığının başarılı istismarı için, kurbanın NetScaler IP (NSIP) bağlantısı olan bir ağdayken tarayıcıda saldırgan tarafından kontrol edilen bir bağlantıya erişmesini gerektirir.
      CVE-2023-3467: Kök yöneticiye (nsroot) ayrıcalık yükseltmeye izin verir.
      CVE-2023-3519: Kimliği doğrulanmamış uzaktan kod yürütme; cihazın bir Ağ Geçidi (VPN sanal sunucu, ICA Proxy, CVPN, RDP Proxy) veya AAA sanal sunucu olarak yapılandırıldığında istismar edilebilir.

      Yapılan araştırmalarda hali hazırda zafiyetlerin sanal ortamda kullanıldığı ve binlerce sistemin aktif olarak etkilendiği açıklandı. Hızlıca yamaların yapılması önerilmektedir.

      Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Zimbra Sıfırıncı Gün XSS Zafiyetini Yamaladı

      Zimbra, iki hafta önce Zimbra Collaboration Suite (ZCS) e-posta sunucularını hedef alan sıfırıncı gün zafiyeti için yama yayınladı. Google Tehdit Analizi Grubu tarafından tespit edilen XSS zafiyeti CVE-2023-38750 referans koduyla takip edilebilir.

      XSS saldırıları, tehdit aktörlerinin hassas bilgileri çalmasına veya savunmasız sistemlerde kötü amaçlı kod yürütmesine izin vererek önemli bir tehdit oluşturur. Zimbra ilk açıklamasında zafiyetin sanal ortamda henüz kullanılmadığını açıklarken, Google TAG ekibi, zafiyetin hedefli bir saldırıda tespit edildiğini açıkladı.

      Zimbra, dahili JSP ve XML dosyalarının açığa çıkmasına neden olabilecek CVE-2023-38750 zafiyetini gidermek için yeni bir sürüm yayınladı.

      Zimbra XSS zafiyeti, en az Şubat 2023'ten beri Winter Vivern Rus bilgisayar korsanlığı grubu tarafından NATO bağlantılı hükümetlerin e-posta portallarını ihlal etmek ve hükümet yetkililerinin, askeri personelin ve diplomatların e-postalarını çalmak için kullanıldı. ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), uyumluluk için üç haftalık bir son tarih belirleyerek, 17 Ağustos'a kadar yama uygulanmamış tüm cihazlardaki kusuru azaltmalarını emretti.

      Bilgi Hırsızlığı İki Kat Arttı

      Bilgi hırsızlarının karıştığı olaylar, 2023'ün ilk çeyreğinde geçen yılın aynı dönemine göre iki kattan fazla arttı ve üç ana platforma saldırıyorlar: Windows, Linux ve macOS.

      Yayınlanan bir çalışmada araştırmacılar, bu kötü amaçlı yazılım geliştiricilerinin çoğunun Telegram'ı komuta ve kontrol (C2) ve veri hırsızlığı için bir platform olarak kullandığını söyledi. Infostealer kötü amaçlı yazılımı, parolaları, oturum açma kimlik bilgilerini ve diğer kişisel verileri içeren hassas bilgileri çalarak kurbanları hedefler. Saldırgan, verileri topladıktan sonra tehdit aktörünün C2 sistemine gönderir.

      Infostealer yazılımları öncelikle siber suç forumlarında satılır. Telegram'da satılmasının yanı sıra Discord gibi diğer anlık mesajlaşma platformlarında da satılmaktadır. Stealer ve log fiyatları genellikle ayda 200 ila 300 $ arasında veya ömür boyu abonelik için yaklaşık 1.000 $ arasında değişir. RedLine'ın %56 pazar payıyla pazarda önde gelen infostealer haline geldiğini, ardından Raccoon (%15) ve RecordBreaker hırsızının geldiğini tespit etti.

      2022'nin en belirgin saldırılarından biri Uber'in sistemlerini hedef aldı . Bir saldırgan, araç paylaşım şirketinin savunma sistemlerini aşmak için Racoon infostealer kullandı ve kurbanları bir talebi doğrulamak için bir bağlantıya tıklamaya teşvik eden sahte bir iki faktörlü kimlik doğrulama bildirimi gönderdi. Bir kullanıcının sisteminin güvenliği ihlal edildiğinde, saldırgan dahili ağ kaynaklarına erişmek için şirketin VPN'ini kullandı. Uber'in erişim yönetimi hizmetine erişim sağladıktan sonra, bunu hesap ayrıcalıklarını artırmak için kullandılar ve AWS, Duo, GSuite, OneLogin, Slack, VMware ve Windows dahil olmak üzere çeşitli Uber kaynaklarına erişim kazandılar.

      Bilgi hırsızlığı yazılımları, fidye yazılımı saldırılarından daha kazançlı hale gelmiş durumda, GDPR ve KVKK gibi otoritelerinde takip etmesinden dolayı kurumlar çalınan verilerin ifşası konusunda ciddi sonuçlarla karşılaşmaktadır. Bu durumun farkında olan saldırgan gruplar, şantaj amaçlı bu veri sızdırmaları kullanarak kurumlardan büyük ölçüde maddi çıkar sağlamaktadır.

      Ivanti'de Sıfırıncı Gün Açığı

       
      Ivanti, Norveç'teki bir düzine bakanlığın BT sistemlerini ihlal etmek için sıfır gün olarak istismar edilen Endpoint Manager Mobile yazılımındaki (eski adıyla MobileIron Core) bir güvenlik açığı için yama yayınladı. EPMM, BT ekiplerinin mobil cihazlar, uygulamalar ve içerik için politikalar belirlemesini sağlayan, yaygın olarak kullanılan bir mobil yönetim yazılımı motorudur.

      Ivanti tarafından CVE-2023-35078 için yayınladığı belgeye göre zafiyet, uzaktan tehdit aktörleri tarafından "kullanıcıların kişisel olarak tanımlanabilir bilgilerine potansiyel olarak erişmek ve sunucuda sınırlı değişiklikler yapmak için" yararlanılabilecek, kimliği doğrulanmamış bir API erişim sorunudur.

      Ivanti, CVE-2023-35081, kimliği doğrulanmış bir yöneticinin EPMM sunucusuna rastgele dosya yazma işlemleri gerçekleştirmesini sağlar. Bu zafiyet, yönetici kimlik doğrulamasını ve ACL kısıtlamalarını (varsa) atlayarak CVE-2023-35078 ile birlikte kullanılabilir.

      Zafiyet aktif olarak Norveç hükümetini hedef alan bir saldırıda kullanıldı. ABD'de ve Avrupa'da internete açık zafiyetli birçok sistem bulunmakta ve aktif olarak sömürülmeye çalışılmaktadır. Üretici acil olarak yamaların yapılmasını önerdi. 

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz


      Popüler Yayınlar