qnap hack etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
qnap hack etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

29 Şubat 2024

Siber Güvenlik Bülteni - Şubat 2024

 

Bültenimizin Şubat Ayı konu başlıkları; 
    • Fortinet Kritik Zafiyetler
    • QNAP Sıfırıncı Gün Zafiyeti
    • AnyDesk Hacklendi
    • Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Fortinet Kritik Zafiyetler

    Fortinet, FortiOS ve FortiSIEM zafiyetleri için uyardı.

    Fortinet, FortiSIEM'de bulunan ve uzaktan saldırganların keyfi kod çalıştırmasına izin verebilecek iki kritik işletim sistemi komut enjeksiyonu açığına dikkat çekiyor.

    Fortinet'in yayınladığı bir bildirime göre, CVE-2024-23108 ve CVE-2024-23109 (CVSS puanı 10) olarak izlenen bu iki kritik açık, uzaktan kod yürütme riski taşıyor.

    Etkilenen ürünler;
    FortiSIEM sürüm 7.1.0 ile 7.1.1 arası
    FortiSIEM sürüm 7.0.0 ile 7.0.2 arası
    FortiSIEM sürüm 6.7.0 ile 6.7.8 arası
    FortiSIEM sürüm 6.6.0 ile 6.6.3 arası
    FortiSIEM sürüm 6.5.0 ile 6.5.2 arası
    FortiSIEM sürüm 6.4.0 ile 6.4.2 arası

    Düzeltilmiş Sürümler;
    FortiSIEM sürüm 7.1.3 veya üstü
    FortiSIEM sürüm 7.0.3 veya üstü
    FortiSIEM sürüm 6.7.9 veya üstü
    Gelecek FortiSIEM sürüm 7.2.0 veya üstü
    Gelecek FortiSIEM sürüm 6.6.5 veya üstü
    Gelecek FortiSIEM sürüm 6.5.3 veya üstü
    Gelecek FortiSIEM sürüm 6.4.4 veya üstü

    Söz konusu açıkların istismar edilmesi durumunda, uzaktan kimlik doğrulama gerektirmeyen bir saldırganın sistemde komut çalıştırmasına izin verilebilir. Mümkün olan en kısa sürede güncelleme yapılması önerilir.

    İki sorun, Ekim 2023'te ele alınan CVE-2023-34992 (CVSS puanı 9.8) adlı bir güvenlik açığı ile ilişkilendirilmiştir.

    CVE-2023-34992 açığı, Fortinet FortiSIEM sürüm 7.0.0 ve 6.7.0 ile 6.7.5 arası ve 6.6.0 ile 6.6.3 arası ve 6.5.0 ile 6.5.1 arası ve 6.4.0 ile 6.4.2 arası sürümlerinde bulunan bir işletim sistemi komut enjeksiyonu (‘os komut enjeksiyonu’) hatasıdır. Saldırgan, bu hatayı kullanarak özel olarak oluşturulan API istekleri aracılığıyla yetkisiz kod veya komutları yürütebilir.

    Fortinet, FortiOS SSL VPN'de yeni bir kritik uzaktan kod yürütme açığının saldırılarda potansiyel olarak kullanıldığı konusunda uyarıyor.

    Bu açık CVE-2024-21762 9.6 ciddiyet derecesine sahiptir ve FortiOS'ta bir sınır dışı yazma güvenlik açığıdır. Bu açık, kimlik doğrulaması yapılmamış saldırganların kötü niyetli olarak oluşturulmuş istekler aracılığıyla uzaktan kod yürütmesine (RCE) izin verir.

    Bu hatayı düzeltmek için, Fortinet en son sürümlerden birine yükseltmeyi önermektedir:

    Etkilenen ürünler;:
    FortiOS sürüm 7.4.0 ile 7.4.2 arası
    FortiOS sürüm 7.2.0 ile 7.2.6 arası
    FortiOS sürüm 7.0.0 ile 7.0.13 arası
    FortiOS sürüm 6.4.0 ile 6.4.14 arası
    FortiOS sürüm 6.2.0 ile 6.2.15 arası
    FortiOS sürüm 6.0 tüm sürümler


    Düzeltilmiş Sürümler;
    FortiOS sürüm 7.4.3 veya üstü
    FortiOS sürüm 7.2.7 veya üstü
    FortiOS sürüm 7.0.14 veya üstü
    FortiOS sürüm 6.4.15 veya üstü
    FortiOS sürüm 6.2.16 veya üstü

    Güncellemeleri uygulayamayanlar için, Fortinet, FortiOS cihazlarınızda SSL VPN'yi devre dışı bırakarak bu hatayı hafifletebileceğinizi belirtiyor.

    Fortinet'in bildirimi, açığın nasıl istismar edildiği veya açığı kimin keşfettiği konusunda herhangi bir ayrıntı sağlamıyor.

    Bu güvenlik açığı, bugün CVE-2024-23113 (Kritik/9.8 derecelendirme), CVE-2023-44487 (Orta), ve CVE-2023-47537 (Orta) ile birlikte duyuruldu. Ancak, bu hataların henüz sahada istismar edilmediği belirtiliyor.

    Siber tehdit aktörleri genellikle Fortinet hatalarını hedef alarak kurumsal ağlara sızıyor ve fidye yazılımı saldırıları ve siber casusluk faaliyetleri gerçekleştiriyor.

    Dün, Fortinet, Çin devlet destekli tehdit aktörlerinin FortiOS açıklarını hedef alarak COATHANGER olarak bilinen özel kötü amaçlı yazılımı dağıtmak için saldırılarını gerçekleştirdiğini açıkladı.

    Bu kötü amaçlı yazılım, Fortigate ağ güvenlik cihazlarını enfekte etmek için tasarlanmış özel bir uzaktan erişim truva atı (RAT) ve son zamanlarda Hollanda Savunma Bakanlığı'na yönelik saldırılarda kullanıldığı tespit edildi.

    Yeni açıklanan CVE-2024-21762 hatasının yüksek ciddiyeti ve saldırılarda kullanılma olasılığı göz önüne alındığında, cihazlarınızı mümkün olan en kısa sürede güncellemeniz kesinlikle önerilir.

    Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    QNAP Sıfırıncı Gün Zafiyeti

    Geçen hafta, QNAP, QTS, QuTS hero ve QuTScloud ürünlerindeki çeşitli güvenlik açıklarının düzeltildiği bir güvenlik bülteni yayınladı.

    Bu açıklar, CVE-2023-47218 ve CVE-2023-50358 olarak atandı. Bu açıkların ciddiyeti 5.8 (Orta) olarak belirtildi. Ancak, toplamda 289.665 savunmasız cihazın, tehdit aktörleri tarafından potansiyel olarak istismar edilebilir olduğu keşfedildi.

    Bu cihazlar çoğunlukla Almanya, ABD, Çin, İtalya, Japonya, Tayvan, Fransa ve birkaç diğer ülkede bulunuyordu.

    QNAP 0-Gün açığı kimlik doğrulaması gerektirmeyen QNAP QTS firmware'inin quick.cgi bileşeninde bulunan bir komut enjeksiyonu ile ilişkilendirilmiştir.
    quick.cgi istek işleyicisi, HTTP parametresi todo=set_timeinfo ayarlandığında, SPECIFIC_SERVER parametresinin değerini /tmp/quick/quick_tmp.conf adlı yapılandırma dosyasına NTP Adresi adı altında kaydeder.
    Bunun ardından, quick.cgi bileşeni, komut satırı yürütmesinin gerçekleştiği ntpdate yardımcı programı ile zaman senkronizasyonunu başlatır.
    Bu yardımcı program, quick_tmp.conf dosyasındaki NTP Adresini okur ve sonra system() kullanılarak yürütülür.
    Bu, güvensiz bir girişin SPECIFIC_SERVER parametresine sağlanması durumunda, girişin system() aracılığıyla geçirilerek ve yürütülerek, savunmasız cihazda keyfi bir komutun yürütülmesiyle sonuçlanır.

    Korunma Yöntemi
    Bu zafiyetin önlenmesi için, kullanıcılar aşağıdaki adımları izleyebilir:
    • Tarayıcıda şu URL'yi test edin: https://<NAS IP adresi>:<NAS sistem portu>/cgi-bin/quick/quick.cgi
    • Eğer HTTP 404 Hatası alıyorsanız, cihaz savunmasız değildir. Eğer "Sayfa Bulunamadı" veya "Web sunucusu şu anda kullanılabilir değil" mesajını alıyorsanız, cihazda zafiyet olma olasılığı vardır.
    • Eğer HTTP 200 yanıtı ile boş bir sayfa alıyorsanız, aşağıdaki adımlar önerilir:
    İşletim sistemini aşağıdaki sürümlerden birine veya daha yeni bir sürüme güncelleyin:
    QTS 5.0.0.1986 sürümü 20220324 veya daha sonrası
    QTS 4.5.4.2012 sürümü 20220419 veya daha sonrası
    QuTS h5.0.0.1986 sürümü 20220324 veya daha sonrası
    QuTS h4.5.4.1991 sürümü 20220330 veya daha sonrası
    • Tarayıcıda aynı URL'yi yeniden test edin. Eğer sonuç HTTP 404 hatası ise, cihaz güvende demektir.
    • Eğer HTTP 200 yanıtı hala devam ediyorsa, QNAP teknik desteği ile iletişime geçilmesi tavsiye edilir.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    AnyDesk Hacklendi

    AnyDesk, uzak masaüstü erişim yazılımı geliştirici Alman şirketi, üretim sistemlerinin bir siber saldırıya maruz kaldığını ve bu saldırının şirketin üretim sistemlerini etkilediğini duyurdu.

    Şirket, bir güvenlik denetimi sonrasında keşfedilen bu olayın bir fidye yazılımı saldırısı olmadığını belirtti ve ilgili makamlara bildirimde bulunduğunu açıkladı.

    Şirket "Tüm güvenlikle ilgili sertifikaları iptal ettik ve gerekli durumlarda sistemleri düzelttik veya değiştirdik," açıklamasında bulundu.

    Tedbir amaçlı olarak, AnyDesk tüm web portalı, my.anydesk[.]com, şifrelerini iptal etti ve kullanıcıların, aynı şifreleri başka çevrimiçi hizmetlerde kullanmışlarsa şifrelerini değiştirmelerini tavsiye etti.

    Ayrıca, kullanıcıların en son yazılım sürümünü indirmelerini önerdi ve bu sürüm yeni bir kod imzalama sertifikasıyla birlikte geliyor.

    AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı. Şu anda, hacklemenin ardından herhangi bir bilginin çalınıp çalınmadığı bilinmiyor. Ancak, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt olmadığını vurguladı.

    AnyDesk, Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales dahil olmak üzere 170.000'den fazla müşteriye sahip olduğunu iddia ediyor.

    AnyDesk müşteri bilgileri bazı platformlarda satılmaya başlandı ve tehdit aktörünün 18.317 hesabı 15.000 dolarlık kripto para birimi karşılığında satışa çıkardığını ve bir anlaşmayı siber suç forumunda kabul ettiğini söyledi.

    Özellikle, aktör tarafından paylaşılan ekran görüntülerindeki zaman damgaları, 3 Şubat 2024 tarihli başarılı izinsiz erişimi göstermektedir ve müşterilerin tümünün erişim kimlik bilgilerini değiştirmemiş olabileceği veya etkilenen tarafların bu mekanizmanın hala devam ediyor olabileceğini de unutmamak gerekiyor.

    AnyDesk, siber saldırı sonrası tüm araç sürümlerinin güvenli olduğunu ve müşterilere sürüm 7.0.15 ve 8.0.8'i indirmelerini önerdiğini belirtti.

    Şirketin yayınladığı ayrı bir SSS bölümüne göre, olayın Ocak 2024'ün ortalarında meydana geldiği ve şirketin bu olayı takiben bir güvenlik denetimi yaptığı, sonuç olarak üretim sistemlerinin tehlikede olduğuna dair kanıtlar bulduğu ifade edildi.

    Ayrıca, kaynak koduna herhangi bir kötü niyetli değişiklik yapıldığını veya müşterilere herhangi bir AnyDesk sistemi aracılığıyla kötü amaçlı kod dağıtıldığını görmediklerini vurguladı.

    AnyDesk, kullanıcı kimlik bilgilerinin karanlık web üzerinde satılmasına dair raporların doğrudan olayla ilgili olmadığını zararlı yazılımlarla enfekte olmuş kullanıcı bilgileri olabileceğini belirtti.

    Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Mercedes-Benz'in iç GitHub Enterprise Servisi'ne sınırsız erişim sağlayan bir GitHub belirteci yanlış yönetildi ve şirketin kaynak kodunu kamuya açık hale getirdi.

    Mercedes-Benz, yenilik, lüks tasarımlar ve üstün yapı kalitesi ile tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir.

    Marka, güvenlik ve kontrol sistemleri, bilgi eğlence, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik, elektrikli güç ve batarya yönetimi (Evler için) gibi araçlarında ve hizmetlerinde yazılım kullanmaktadır.

    2023 yılının 29 Eylül'ünde araştırmacılar, bir Mercedes çalışanına ait kamuya açık bir depoda bulunan bir GitHub belirtecini keşfetti ve bu belirtecin şirketin iç GitHub Enterprise Sunucusuna erişim sağladığını belirtti.

    Bu olay hassas depoların ortaya çıkmasına ve bu depolarda veritabanı bağlantı dizeleri, bulut erişim anahtarları, şematikler, tasarım belgeleri, SSO parolaları, API anahtarları ve diğer kritik iç bilgilerin bulunması nedeniyle ciddi sonuçlara yol açtı.

    Araştırmacıların açıkladıkları gibi, bu verilerin kamuoyuna açık hale gelmesinin sonuçları ciddi olabilir. Kaynak kodu sızıntıları, rakiplerin tescilli teknolojileri tersine mühendislik yapmasına veya hackerların araç sistemlerinde potansiyel zayıflıkları aramasına neden olabilir. Ayrıca, API anahtarlarının ortaya çıkması, yetkisiz veri erişimi, hizmet kesintileri ve şirket altyapısının kötü amaçlar için kötüye kullanılmasıyla sonuçlanabilir.

    Araştırmacılar, Mercedes-Benz'e belirteç sızıntısını 22 Ocak 2024'te bildirdi ve iki gün sonra bunu iptal etti, bu da bu belirtece sahip olan ve kötüye kullanan kişilere erişimi engelledi.

    Bu olay, Japon otomobil üreticisi Toyota'nın Ekim 2022'de yaşadığı bir güvenlik hatasına benziyor. Toyota, bir GitHub erişim anahtarının açığa çıkmasından dolayı kişisel müşteri bilgilerinin beş yıl boyunca kamuya açık kalmasını açıklamıştı.

    Bu tür olaylar, GitHub Enterprise örneklerinin sahiplerinin genellikle IP adreslerini içeren denetim günlüklerini etkinleştirmeleri durumunda, kötü amaçlı kullanım kanıtlarını oluşturur.

    Mercedes-Benz'in konuya ilişkin açıklaması; 

    "Bir insan hatası nedeniyle, iç erişim belirteci içeren bir kaynak kodu kamuya açık bir GitHub deposunda yayınlandı. Bu belirteç, belirli sayıda depoya erişim sağladı, ancak İç GitHub Enterprise Sunucusunda barındırılan tüm kaynak koda erişim sağlamadı. İlgili belirteci iptal ettik ve hemen kamuya açık depoyu kaldırdık. Müşteri verileri etkilenmediğinden güncel analizimiz gösteriyor. Bu durumu normal süreçlerimize göre analiz etmeye devam edeceğiz."

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    10 Ocak 2022

    Siber Güvenlik Bülteni - Aralık 2021

     

    Bültenimizin Aralık ayına ait başlıkları; 
    • 2021 Popüler Siber Tehditler
    • KMSPico Gözünü Kripto Cüzdanlara Dikti
    • Siber Hayatta Omicrona Dikkat
    • QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde
    • Siber Saldırganlar Pasaportlarımızı Hedef Aldı

    2021 Popüler Siber Tehditler

    Gerçek dünyamızda 2021'de pandeminin etkileri devam ederken, aynı hareketlilik siber dünyada da hızını sürdürdü. 2021'de yerli ve yabancı çok büyük şirket yine siber saldırılara uğradı ve bunun sonuçları hem şirketleri hem de bizleri etkiledi.

    Bu yıl süresince gerçekleşen saldırılardan gördük ki, geçtiğimiz 2020 yılında yaşanan saldırılardan ders aldıklarımızın haricinde,  halen ders alamadığımız birçok saldırıya maruz kalınmış. 2022 yılının geçmiş yıllarda yaptığımız hatalardan uzak, temel dinamiklerin dikkate alındığı, farkındalığı yüksek ve daha güvenli bir yıl olmasını dileriz.



    2021'in Popüler Tehditleri

    Fidye Yazılımları

    Sistemlerimize bulaştıktan sonra dosyalarımızı etkileyen Fidye yazılımları 2021'de zirvedeki yerini koruyor ve öyle görünüyor ki 2022'de de zirvede kalacak. Bir önceki yıla göre %93 oranında artarak hızla büyümeye devam ediyor.

    Bulut Zafiyetleri
    Bulut çözümlere olan ilgimiz her geçen gün artmaya devam ediyor; fakat 2021 yılında yine yanlış yapılandırmalar sonucunda birçok kurum verisi ifşa oldu. Unutmamak lazım ki bulut sistemler genel çözümleri sunan bir teknolojidir, doğru, özgünleştirilmiş olarak konumlandırılması gerekmektedir. Doğru konumlandırılmayan hiçbir sistem sizlere güvenlik vaat edemez.

    Oltalama Saldırıları
    Kimlik avı saldırıları kurumları hedefleyen en büyük risklerden biri olmaya devam ediyor, uzun yıllardır hayatımızda olan oltalama saldırıları günümüzde de hâlâ en çok kullanılan saldırı yöntemlerinden birisidir. Kullanıcı odaklı olduğundan, farkındalığı düşük kullanıcılar hedeflendiğinde başarı oranı çok yüksektir. Veri ihlallerinin %36'sı oltalama saldırıları sayesinde gerçekleşmektedir ve önceki yıla göre %22 oranında bir artış gözlemlenmektedir.

    Sosyal Mühendislik
    Kullanıcıyı kandırmak ve manipüle etmek sistemde başarı sağlamak açısından çok değerli sonuçlar üretir. Zira güvenlik sistemlerinin ele geçirilmiş olan bir kullanıcının hareketlerini gerçek kullanıcıdan ayırt etmesi oldukça zordur.

    Gecikmeli Yamalar - Yama Yönetimi
    Birçok saldırı yaması yapılmamış yazılımlar üzerinden başlar. Yazılımlarda çıkan zafiyetler sonucu, direkt hedef haline gelen sistemler saldırıya maruz kalır. Bu yüzden yama yönetimi ciddi bir süreç takibi gerektirir. Yamaların hiç uygulanmaması veya gecikmeli olarak uygulanması saldırıların daha kolay başarıya ulaşmasını sağlamaktadır.

    IoT Zafiyetleri
    IoT hayatımızda vazgeçilmezlerden biri haline geldikçe hackerların da dikkatini çekmeye devam ediyor. Artık kullandığımız birçok cihaz internete bağlanıp, birbirleriyle iletişime geçiyor. Kullanış kolaylığından ötürü birçok kurum IoT'leri süreçlerine katmaya devam ediyor. Bu kullanım kolaylıkları ise riskleri ile birlikte geliyor. Dünyanın en büyük DDoS saldırılarının IoT'ler kullanılarak gerçekleştirilmiş olmasından görüldüğü kadarıyla bu yıl olduğu gibi yeni yılda da IoT'ler saldırı vektörleri olarak karışımıza çıkacaktır. Fortune Business raporuna göre 2026 yılında IoT pazarının 1.1 trilyon dolara ulaşması bekleniyor.

    Kripto Hırsızlığı
    Siber suçlular tarafından kripto para madenciliği için insanların cihazlarının (bilgisayarlar, sunucular, akıllı telefonlar ve tabletlerin) yetkisiz olarak kullanılmasıdır. Kripto para madenciliği çok yüksek işlem gücü gerektirmektedir, siber suçlular da bu güce maddi olarak ulaşamadığından hedef seçtikleri kurbanların sistemlerini bu iş için kullanmaktadır. Birçok kurum satın aldığı sistemlerde performans kaybı olduğunu gözlemlemekte ve bunun sıradışı nedenlerinden birinin de kripto para madenciliği için kullanılan zararlı yazılımlardan kaynaklı olduğu bilinmektedir. Kısa vadede tespit edilebilen performans kaybının yanı sıra enerji maliyetinin artması, cihazlarda aşınmanın hızlanarak arıza riskinin artması gibi orta vadeli zararları da büyüktür.

    Form Hırsızlığı
    Form hırsızlığı genellikle bir web sayfasındaki forma JavaScript kodu enjekte edilmesi ile, kullanıcının forma bilgileri girdiği esnada kötü amaçlı kodun bu bilgileri saldırganların belirlediği yere göndermesi ile gerçekleştirilmektedir. Genellikle bu tür saldırılar, e-ticaret firmalarının ödeme sayfası üzerinde gerçekleştirilir. İnternet Güvenliği Tehdit raporuna göre her ay ortalama 4.800 web sitesinde form hırsızlığı koduyla güvenlik ihlal ediliyor.

    3. Parti (Taraf) Zafiyetleri
    Birçok kurumda her süreç için kendi başına teknik çözüm geliştirme imkânı bulunmamaktadır ve bu ihtiyaç dolayısıyla farklı firmalardan ihtiyaçlarına özgün çözümleri bularak tedarik etmektedir. Bir başka firmadan temin edilen bu çözümlerin de zafiyetleri aynı zamanda kullanıcı kurumun da bir zafiyeti haline gelmektedir ve bu ürünler aracılığıyla sakladığınız veya işlediğiniz veriler ihlal edilebilmektedir. Her firmanın güvenlik süreçlerinin aynı olmadığı dikkate alınarak, ürün temin edilen 3ncü taraf işletmelerin de güvenlik süreçleri de gerek duyulan düzeyde irdelenmelidir.

    VPN Sistemleri
    Pandemiyle birlikte uzaktan çalışmaya hızlı bir geçiş yaşandı ve birçok kurum bu geçişlere hazırlıksız yakalandı. VPN kullanmaya yeni başlayan birçok kurum oldu. Bu yıl VPN servisi sunan firmalar açısından çok zorlu bir yıl oldu ve birçok VPN servis ve ürünlerinde çıkan zafiyetler sonucunda kurumsal ağlara da erişimler elde edildi.

    KMSPico Gözünü Kripto Cüzdanlara Dikti

    KMSPico, lisansları hileli bir şekilde etkinleştirmek için Windows Anahtar Yönetim Hizmetleri (KMS) sunucusunu taklit eden lisans hırsızlığı dünyasında popüler bir Microsoft Windows ve Office ürün etkinleştiricisidir. Saldırganlar, kripto para cüzdanlarını ele geçirmek için değiştirilmiş KMSPico'yu tekrardan piyasaya sürüyor!

    KMSPico kullanan bireysel kullanıcı haricinde, kurumsal şirketler de sanıldığından çok fazladır. Maalesef Türkiye'de de birçok kurum yeterli sayıda lisansı bütçeleyemediği için KMSPico üzerinden ürünlerini etkinleştirerek kullanmaktadır. Google'da arama yaptığınızda fazlasıyla Official (Resmi) KMSPico dağıtımı yapan alanadlarıyla karşılaşabilirsiniz.

    KMSPico kurarken aynı zamanda paralelinde Cryptbot adlı zararlı yazılımı da yüklenmektedir ve arka planda yüklendiğinden kullanıcı bunun farkına varamamaktadır. Aynı zamanda zararlı yazılım kendisini test etmek isteyen sandbox sistemlerine karşı da dirençlidir, çalıştırmamaktadır.

    Zararlı yazılımın veri toplayabildiği bazı uygulamalar
    • Atomic cryptocurrency wallet
    • Avast Secure web browser
    • Brave browser
    • Ledger Live cryptocurrency wallet
    • Opera Web Browser
    • Waves Client and Exchange cryptocurrency applications
    • Coinomi cryptocurrency wallet
    • Google Chrome web browser
    • Jaxx Liberty cryptocurrency wallet
    • Electron Cash cryptocurrency wallet
    • Electrum cryptocurrency wallet
    • Exodus cryptocurrency wallet
    • Monero cryptocurrency wallet
    • MultiBitHD cryptocurrency wallet
    • Mozilla Firefox web browser
    • CCleaner web browser
    • Vivaldi web browser

    Siber Hayatta Omicrona Dikkat

    Pandemi ile beraber her geçen gün yeni varyantların adı ortaya çıkmaya devam ediyor. Bu varyantların hızlı yansımalarını siber dünyada da, saldırılarda görüyoruz. Her yeni isim, yeni bir saldırı türevi olarak karşımıza çıkıyor. Yeni saldırı Omicron üzerinden kurgulandı. Onlarca üniversite Omicron kaynaklı haberler üzerinden kullanıcı adı ve parolası hırsızlığına maruz kaldı.

    Bu tür saldırılarda ağırlıklı olarak COVID-19 üzerine araştırma yapan üniversitelerin hedeflenmesi, saldırının planlı olduğunu da ortaya koyuyor. Kasım ayı sonu itibarıyla Omicron'un çok fazla konuşulması, saldırı vektörlerinde Omicron'un sıklıkla kullanılmasına sebep oldu. Bu saldırı senaryoları genellikle Office 365 portalı veya üniversiteye özel portal sayfaları üzerinden kimlik avı saldırılarını içermektedir.

    Oltalama saldırıları kurumları en çok tehdit eden risklerin başında gelmektedir. Kurumların donanım ve yazılım yatırımları her geçen gün ciddi bir artış gösterirken, kurumlar çalışanların farkındalığının eksik olması veya dikkat verememesinden dolayı milyonlarca maddi zarara uğramaktadır. Bu tür riskleri ölçmek için Sosyal Mühendislik Testi hizmetleri alabilir, çalışanlarınızın farkındalık durumlarını ölçebilirsiniz, ayrıca farkındalığı artırmak için de kurumunuzda Siber Güvenlik Farkındalık Eğitimleri uygulayabilirsiniz. Kurum içerisinde herkesin farkındalığının artmış olması ile yazılım ve donanıma yapılan yatırımın sürekliliği sağlanır, sonuç olarak güvenliğin sağlanması; performansın, verimliliğin artması, maliyetlerin düşürülmesine de yardımcı olur.

    QNAP NAS Cihazları Kripto Madencilerinin Yine Hedefinde

    Kripto para madencileri her geçen gün farklı zararlı yazılımlar ile kripto para madenciliğini kurbanların sistemlerini izinsiz kullanarak yapmaya devam ediyor. Yeni zararlı yazılımın ismi Bitcoin Miner [oom_reaper] olarak adlandırıldı ve kurban sistemlerin performanslarını ortalama %50 etkilemektedir. Bu saldırının yeni kurbanı ise tekrar QNAP NAS oldu. QNAP dosya paylaşımı, sanallaştırma, depolama yönetimi ve gözetim uygulamaları için kullanılan Ağa bağlı depolama cihazları üreten bir şirkettir.

    QNAP yaygınlığı dolayısıyla bu tür saldırılara farklı zararlı yazılımlar tarafından maruz kalmaya devam ediyor. Bundan önce de eChOraix Ransomware, Muhstik Ransomware veya QSnatch gibi zararlı yazılımlarında hedefi haline gelmişti, CVE-2020-2506 ve CVE-2020-2507 zafiyetlerinden faylanmışlardı. Yeni zararlı yazılımın henüz hangi zafiyeti kullandığı ise tespit edilemedi.

    QNAP Tarafından Önerilen, Etki Azaltma Önlemleri

    • QTS ve QuTS hero en son sürüme güncellenmelidir.
    • Ağınızda zararlı yazılım analizi yapabilen sistemlerle takip etmelidir. (TINA)
    • QTS ve QuTS hero > App Center > Malware Remover son sürümünü indirebilirsiniz.
    • Yönetici ve kullanıcı parolalarını güçlendirmelidir.
    • Tüm uygulamalar en son sürüme güncellenmelidir.
    • Vlan segmentasyonu yapılmalı ve QNAP dış erişimlere kapatılmalıdır.

    Siber Saldırganlar Pasaportlarımızı Hedef Aldı

    Onfido'nun 2022 Identity Fraud Raporuna göre, kimlik sahtekârlığında en çok saldırıya uğrayan kimlik belgesi biçiminin Pasaportlar olduğu açıklandı. Ayrıca raporda belirtildiğine göre sahteciler gerçek bir kimliği taklit etmek yerine, sıfırdan bir belge yaratmayı daha çok tercih ediyorlar.

    Bunun yanı sıra COVID-19 ile küresel anlamda başlatılan uygulamalara göre, ülkeler kendi vatandaşlarını korumak için normal fiziksel pasaportlar dışında Aşı Kartı veya Dijital Aşı Sertifikaları gibi yeni kimlik türlerini üreterek ibrazlarını da ülkeye girişlerde zorunlu tutuyor. Hatta birçok ülke seyahat, konser alanları, sinema, restoran gibi kapalı alanlarda aşı kimliği zorunluluğu getirilmiş durumda.

    Şu an illegal forumlar üzerinde sahte aşı kimlikleri ortalama 34 dolara satılmaktadır ve oldukça ciddi rağbet gördüğü de söylenebilir.

    07 Nisan 2021

    Siber Güvenlik Bülteni - Mart 2021

     

    Büyük Veri Sızıntıları

    Geçtiğimiz günlerde 2 büyük siber saldırı haberi yayınlandı. Bunlardan biri yerli çevrim içi yemek siparişi verilen Yemeksepeti, diğeri ise dünyanın en büyük sosyal platformlarından Facebook oldu.

    Yemeksepeti üzerinden kredi kartı bilgilerinin ele geçirilmediği fakat ad ve soyad, doğum tarihi, kayıtlı telefon numaraları, eposta adresleri, kayıtlı adres bilgileri ve SHA-256 ile şifrelenmiş parola bilgileri ele geçirildiğini kurum yetkililerince açıklandı. Saldırı 25 Mart 2021 tarihinden itibaren tespit edildi ve veri ihlali ile alakalı tüm kullanıcılara da bilgilendirme maili gönderildi, şifrelerin kolayca çözülemeyeceği söylense bile siber güvenlikte ihtimaller her zaman vardır bu yüzden hızlıca parolanızı değiştirmenizi ve aynı parolayı kullandığınız yerlerde de hızlıca parola değişikliği yapmanızı öneririz.

    Facebook ise geçtiğimiz hafta veri ihlali bildirimi yaptı. Yaklaşık 106 ülkeden 533 milyon kişinin, Türkiye'den yaklaşık 20 milyon kişinin, bilgileri sızdırıldı. Bu bilgiler arasında telefon numaraları, e-posta adresleri, lokasyon bilgileri, cinsiyet bilgileri, ilişki durumları gibi dışarıya kapalı olan veriler sızdırıldı. Şu an birçok yerde ücretsiz olarak bu veriler dağıtılmakta ve birçok birey/kurum bu veriler üzerine çalışmaya başlamıştır.

    Kuzey Kore'nin Sahte Türk Siber Güvenli Şirketi

    Kuzey Kore hükûmeti tarafından desteklenen bir siber saldırı grubu, kurumları hedeflemek amaçlı "SecuriElit" isimli sahte bir güvenlik şirketi kurdu ve bu şirket ile ilişkilendirilmiş sosyal medya hesapları oluşturdu. Oluşturdukları sahte kurumsal websiteleri üzerinde daha önce birçok saldırıda kullanılan internet tarayıcı zafiyetlerini tetikleyen pgp.txt dosyaları tespit edildi. Yapılan analizlerde sahte şirkete ait tüm websitelerinin ve sosyal medya hesaplarının tespit edilenleri kapatılmış durumda fakat bu tür saldırılar her geçen gün artmaya devam ediyor, saldırıya maruz kalmak için herhangi bir websitesine giriş yapmanın bile yeterli olabileceğini bu olayda net olarak görebiliyoruz. Herhangi bir konuda hizmet alacağınız firma araştırması yaparken Google üzerinden araştırmalarınızda dikkatli olmanız gerekmektedir.

    Sağlığımız Siber Saldırganların Elinde

    Fidye saldırıları her geçen gün etkisini artırmaya devam ediyor. En riskli olarak sayılabilecek saldırılardan biri geçtiğimiz yıl sonunda denk gelen Universal Health Service oldu. Şirketin ABD ve İngiltere'de 10 binden fazla çalışanı bulunuyor ve yıllık gelirleri 10 milyar doların üzerinde. Kuruma yapılan saldırı sonucunda sistemlerin şifrelenmesiyle şirket bu sürede veremediği hizmetlerden dolayı kayıp bilançosu ortalama 67 milyon dolar olarak belirlendi. Kurum bu saldırılar için her ne kadar sistemleri geri döndürmeye çalışsa da maalesef bu siber saldırı gruplarına fidyeyi ödemek ve sistemleri aktif etmek durumunda kaldılar. UHS tarafından yapılan açıklamada herhangi bir bilgiye erişim olmadığını ve veri sızdırılmadığı iddia edildi.

    Bu tür saldırılarda genel olarak müşteriler, siber saldırı gruplarına güvenmek zorunda kalıyor. 2020 yılı içerisinde pandeminin de etkisiyle birlikte dünya ekonomisinin zayıflaması birçok kişiyi bu tür illegal yollardan para kazandırmaya sevk etti ve pandemi sürecinde göz önünde olan sağlık sektörü fazlasıyla nasibini aldı, 2021 yılı içerisinde de benzer saldırıları görebiliriz. Bu konuda siber saldırılara karşı önemleri artırmak amacıyla güvenilir kurumlardan destek alınması gerekmektedir. Bu konuda destek ihtiyacınızda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın.

    ​1 Parolanın Nesi Var...

    2020 yılında da birçok kullanıcı adı ve parola sızdırıldı ve tahminî olarak aktif 1,5 milyar parolanın ve kombinasyonlarının kullanıldığı saptandı. 2020 yılında sızdırılmış kullanıcı adı ve parola bilgileri 2019 yılına göre %30 artış göstermiş durumda, 2020 yılı içerisinde etkili sayılabilecek sızıntı yaklaşık 854 vaka gerçekleşti. Bu vakalarda ortalama 5,4 milyon kayıt sızdı. Yapılan incelemelerde tespit edilen parolaların yaklaşık %60 ı aktif olarak kullanılmaktadır, bu da yeni saldırılarda brute force yönetmenin başarı oranını artırmaktadır.

    ​Birçok kurumun ve kişilerin bir parolayı birden fazla yerde kullandığı bilinmektedir, herhangi bir sızıntı olduğu noktada bir parolanın açığa çıkmasıyla ​diğer hesaplar üzerinde de hızlıca denemeler yapılmaya başlanarak sızıntının kapsamı aslında siber saldırı grupları tarafından genişletilmektedir. 

    ​Verilen parolaların 14 karakterden uzun, büyük küçük harf, rakam ve özel karakterlerden oluşmasının yanı sıra ayrıca tahmin edilebilir parolalardan da kaçınılması gerekmektedir, yukarıda belirtildiği gibi, tüm bunların yanı sıra aynı parolayı birden fazla hesap, site - farklı sistemler üzerinde kullanmak da diğer bir risk faktörüdür ve hesaplarınıza sızmaya yol açar., bunun yanında aynı parolayı birden fazla hesap üzerinde kullanmakta diğer bir risk faktörünü doğurmaktadır.

    Güçlü parola oluşturmanın zorluğu birçok kurum, kuruluş ve kişi tarafından belirtilmektedir fakat günümüzde ücretli veya ücretsiz olarak kullanılabilecek, parola yönetim yazılımları burada sizler adına çok güçlü ve karmaşık parolaları hızlıca oluşturmaya olanak sağlamaktadır.

    QNAP Coin Üretmeye Başladı

    Geçtiğimiz yıl iki kritik zafiyetin çıktığı yedekleme sistemi üretici Qnap zafiyetler tarafında yamalar yayınlasa da yaması yapılmamış sistemler üzerinde ciddi etkisini göstermeye devam ediyor. Yapılan araştırmalarda görülüyor ki UnitMiner adı verilen zararlının çalıştığı sistemlerin %80ini zafiyetli Qnap'lar oluşturuyor, aynı zamanda zararlı yazılım Qnap üzerinde manipülasyonda yaparak sistemde kripto madenciliğini ve CPU kullanımının gizlendiği görüldü, sistem kullanıcısının Qnap web arayüzden kontrol ettiğinde herhangi bir anormallik görülmediği gözlemlenmiştir.

    Son yıllarda kripto paraların al sat olarak kullandığı sanal borsalardan dolayı birçok sistem üzerinde performans tüketimini yaparak kripto madenciliği saldırıları gerçekleşmektedir. 

    TINA ekibi olarak çalışma yaptığımız noktalarda da tespitlerimiz şunu göstermektedir; kurum sistemleri üzerinde değerli veri bulunmaması veya veriye ulaşılamaması durumlarında dahi sistemlere saldırı sürmekte, sistem kullanım yoğunluğunun düşük olduğu noktalarda kurum kaynakları içerisine yerleştirilmiş zararlı yazılımlar ile kripto madenciliği yapılmaktadır. 

    ​Kısacası siber saldırganlar artık sadece verinin değil, sahip olduğunuz tüm kaynakların; sistemlerin, kullanılmayan boşta duran internet hattınızın, elektriğinizin ve tüm donanım kaynaklarınızın işlemci gücünün de peşindeler. Yapılan bu tip saldırılara yönelik anlık olarak analiz gerçekleştiren sistemler ile kontrolü artırmanız gerekmektedir. Bu konuda destek ihtiyacınızda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

    Microsoft ProxyLogon Zafiyeti

    Microsoft bu ay içerisinde Exchange sunucular için birden fazla sıfırıncı gün zafiyet bildirimi yaptı ve zafiyetlerin yamalarını da paylaştı. Bu saldırılar ProxLogon olarak adlandırıldı. Zafiyetler CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 olarak referans edildi. Burada yapılan açıklamada bulut tabanlı sistemlerin değil, on-promise (yerel) sistemlerin etkilendiği açıklandı. Saldırı, Outlook (OWA) kullanıcılarına Microsoft Exchange sunucuları üzerinde kod çalıştırmasına olanak sağlamaktadır. Bu saldırıların arkasında Çin devletinin desteklediği bir siber saldırı grubununun olduğu düşünülmektedir.

    Microsoft bu yamaları yayınlamasına rağmen aktif olarak ülkemiz dahil dünya üzerinde 30.000 üzerinde sistemin etkilendiği tespit edilmiştir. Bu yamaları hali hazırda yapmış bile olsanız, yama öncesi sisteme sızma ihtimali düşünülerek Microsoft tarafından PowerShell komut dosyası paylaşılarak zafiyetlerin tespitinde yardımcı olması amaçlanmıştır. PowerShell komut dosyayı buradan indirebilirsiniz.

    Exchange server üzerinde indireceğiniz scripti Exchange Management Shell ile çalıştırıp kontrol edebilirsiniz.

    Tüm Exchange Sunucuları Kontrol Etmek ve rapor üretmek için;
    Get-ExchangeServer | . \Test-ProxyLogon. ps1 -OutPath $home\desktop\logs

    Bulunduğunuz Exchange Sunucu Kontrol Etmek ve rapor üretmek için;
    . \Test-ProxyLogon. ps1 -OutPath $home\desktop\log

    Rapor üretmeden Bulunduğunuz Exchange Sunucu Kontrol Etmek için;
    .\Test-ProxyLogon.ps1

    Popüler Yayınlar