ransomware etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
ransomware etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

30 Aralık 2025

Siber Güvenlik Bülteni - Aralık 2025

 

Bültenimizin Aralık Ayı konu başlıkları; 
    • 5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama 
    • GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası
    • Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor
    • 16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu
    • 2025 Ransomware Saldırıları Özeti

    5 Yıllık FortiOS SSL VPN Açığı: VPN Hesaplarında 2FA Atlama

    Fortinet, FortiOS SSL VPN’de beş yıllık bir güvenlik zafiyetinin belirli yapılandırmalar altında sahada  aktif olarak kötüye kullanıldığını gözlemlediğini açıkladı.

    Söz konusu zafiyet CVE-2020-12812, FortiOS SSL VPN’de yer alan hatalı kimlik doğrulama zafiyetidir. Bu zafiyet, kullanıcı adının büyük/küçük harf yapısı değiştirilerek, kullanıcının ikinci faktörlü kimlik doğrulama (2FA) istenmeden başarılı şekilde giriş yapmasına olanak tanıyabilir.

    Fortinet, Temmuz 2020’de yaptığı açıklamada durumu şöyle özetlemişti:

    “Bu durum, iki faktörlü kimlik doğrulama ‘user local’ ayarında etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü uzak bir kimlik doğrulama yöntemi (örneğin LDAP) olarak ayarlandığında ortaya çıkar. Sorun, yerel ve uzak kimlik doğrulama mekanizmaları arasındaki tutarsız büyük/küçük harf duyarlılığından kaynaklanmaktadır.”

    Bu zafiyet, o tarihten bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edilmektedir. Ayrıca ABD hükümeti, 2021 yılında çevre cihazlarını hedef alan saldırılarda silah haline getirilen zafiyetler arasında bunu da listelemiştir.

    Fortinet, 24 Aralık 2025 tarihinde yayımladığı yeni bir güvenlik duyurusunda, CVE-2020-12812’nin başarıyla tetiklenebilmesi için aşağıdaki yapılandırmaların mevcut olması gerektiğini belirtti:

    • FortiGate üzerinde, LDAP’e referans veren ve 2FA etkin olan yerel kullanıcı kayıtları
    • Bu kullanıcıların LDAP sunucusunda bir grubun üyesi olması
    • Kullanıcının üyesi olduğu en az bir LDAP grubunun FortiGate üzerinde tanımlı olması ve bu grubun bir kimlik doğrulama politikasında kullanılması (örneğin yönetici erişimiSSL VPN veya IPSEC VPN)
    Bu ön koşullar sağlandığında, zafiyet şu sonuca yol açar:
    2FA yapılandırılmış LDAP kullanıcıları güvenlik katmanını atlayarak doğrudan LDAP üzerinden doğrulanır. Bunun temel nedeni, FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, LDAP dizininin ise duyarlı olmamasıdır.

    Fortinet durumu şöyle açıklıyor:

    “Kullanıcı ‘jsmith’ yerine ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ gibi birebir aynı olmayan bir büyük/küçük harf kombinasyonu ile giriş yaparsa, FortiGate bu girişi yerel kullanıcı ile eşleştiremez.”

    Bu durumda FortiGate, alternatif kimlik doğrulama seçeneklerini değerlendirmeye başlar:

    Yerel kullanıcıyla eşleşme başarısız olduktan sonra, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve buradaki LDAP sunucusunu bulur. Kimlik bilgileri doğruysa, yerel kullanıcı politikalarındaki ayarlardan (2FA veya hesap devre dışı olsa bile) bağımsız olarak kimlik doğrulama başarılı olur.

    Bu zafiyet, yönetici veya VPN kullanıcılarının 2FA olmadan doğrulanabilmesine neden olabilir.

    Fortinet, bu davranışı düzeltmek için Temmuz 2020’de şu sürümleri yayımlamıştır:
    • FortiOS 6.0.10
    • FortiOS 6.2.4
    • FortiOS 6.4.1

    Bu sürümleri henüz kullanmayan kurumlar, tüm yerel hesaplar için aşağıdaki komutu çalıştırarak kimlik doğrulama atlatma riskini azaltabilir:

    set username-case-sensitivity disable

    FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümleri kullanan müşterilere ise şu komut önerilmektedir:

    set username-sensitivity disable

    Fortinet’e göre:

    “username-sensitivity devre dışı bırakıldığında, FortiGate ‘jsmith’, ‘JSmith’, ‘JSMITH’ gibi tüm kombinasyonları aynı kabul eder ve hatalı yapılandırılmış LDAP grup ayarlarına failover yapılmasını engeller.”

    Ek bir önlem olarak, gerekli değilse ikincil LDAP grubunun kaldırılması önerilmektedir. Bu, LDAP üzerinden kimlik doğrulamayı tamamen ortadan kaldıracağı için saldırı vektörünü baştan kapatır; kullanıcı adı yerel kayıtla birebir eşleşmezse kimlik doğrulama başarısız olur.

    Ancak, yeni yayımlanan rehber, saldırıların doğasıkapsamı veya başarılı olup olmadığı konusunda herhangi bir detay içermemektedir. Fortinet ayrıca, 2FA olmadan yönetici veya VPN kullanıcılarının doğrulandığına dair bir bulgu tespit edilmesi halinde, etkilenen müşterilere destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etmektedir.

    GlobalProtect ve SonicWall Hedefte: 7.000+ IP ile Kimlik Bilgisi Odaklı Saldırı Dalgası

    Palo Alto GlobalProtect portallarını hedef alan oturum açma girişimleri ve SonicWall SonicOS API uç noktalarına yönelik tarama faaliyetleri başlatan yeni bir kampanya gözlemlendi.

    2 Aralık'ta başlayan bu faaliyet, kendi BGP ağını işleten ve bir barındırma sağlayıcısı olarak faaliyet gösteren Alman BT şirketi 3xK GmbH tarafından işletilen altyapıdaki 7.000'den fazla IP adresinden kaynaklandı.

    Saldırganlar başlangıçta GlobalProtect portallarını kaba kuvvet (bruteforce) ve oturum açma girişimleriyle hedef aldı, ardından SonicWall API uç noktalarını taramaya yöneldi.

    Araştırmacılar, bu ani artışın daha önce Eylül sonu ile Ekim ortası arasında kaydedilen tarama girişimlerinde gözlemlenen üç istemci parmak izini (client fingerprints) kullandığını belirtiyor.

    Analiz edilen göstergelere göre, her iki faaliyetin de aynı aktöre ait olduğu belirtilmektedir.

    Bu uç noktaları hedef alan kötü niyetli taramalar, genellikle güvenlik zafiyetlerini ve hatalı yapılandırmaları tespit etmek için yapılır.

    Bu nedenle, savunmacıların bu tür faaliyetlerle ilişkili IP'leri izlemeleri ve engellemeleri tavsiye edilmektedir.

    Ayrıca, kimlik doğrulama yüzeylerinin anormal hız/tekrarlanan başarısızlıklar açısından izlenmesi, yinelenen istemci parmak izlerinin takip edilmesi ve statik itibar listeleri yerine dinamik, bağlam duyarlı engelleme kullanılması önerilmektedir.

    Palo Alto Networks, GlobalProtect arayüzlerine yönelik artan taramalar tespit ettiğini söyledi ve bunun "bir yazılım zafiyetinin istismarı değil, kimlik bilgisi tabanlı saldırıları (credential-based attacks) temsil ettiğini" doğruladı.

    Palo Alto Networks, müşterilerine kimlik bilgilerinin kötüye kullanımına karşı korunmak için Çok Faktörlü Kimlik Doğrulamayı (MFA) zorunlu kılmalarını önermektedir.

    Ivanti EPM Alarmı: Kritik XSS Açığı Uzaktan Kod Çalıştırmaya Gidiyor

    Ivanti, Endpoint Manager (EPM) için dördü de güvenlik açığı olmak üzere yamalar yayımladığını duyurdu. Bu zafiyetler arasında, uzaktan kod çalıştırmaya (RCE) yol açabilen kritik seviyede bir zafiyet de bulunuyor.

    Söz konusu güvenlik açığı CVE-2025-10573 olarak takip ediliyor ve kimlik doğrulama gerektirmeden istismar edilebilen kalıcı (stored) bir XSS açığı olarak tanımlanıyor.

    Rapid7’nin Ağustos ayında keşfedip raporladığı bu kritik EPM açığı, saldırganların kötü amaçlı payload içeren cihaz tarama verileri göndermesine olanak tanıyor. Bu veriler işlendiğinde, web yönetim paneline gömülüyor.

    Şirketin açıklamasına göre, bir yönetici panel arayüzüne erişip cihaz bilgilerini görüntülediğinde, payload tetikleniyor ve istemci tarafında JavaScript çalıştırılıyor. Bu da saldırganın yöneticinin oturumunun kontrolünü ele geçirmesine imkan tanıyor.

    Bu açık, Ivanti EPM 2024 SU4 SR1 sürümü ile giderildi. Aynı sürüm, üç adet yüksek önem dereceli güvenlik zafiyetini de kapatıyor.

    İlk yüksek seviye zafiyet olan CVE-2025-13659dinamik olarak yönetilen kod kaynaklarının hatalı kontrolü olarak tanımlanıyor. Bu zafiyet, uzaktan ve kimlik doğrulama gerektirmeden saldırganların sunucuya rastgele dosya yazmasına olanak tanıyabilir.

    Ivanti’ye göre, bu zafiyetin başarılı şekilde istismar edilmesi RCE’ye yol açabilir, ancak kullanıcı etkileşimi gereklidir.

    İkinci yüksek seviye zafiyet CVE-2025-13661path traversal (dizin geçişi) zafiyetidir. Uzaktan istismar edilebilir ve hedeflenen dizin dışına rastgele dosya yazılmasına imkan tanır. Bu zafiyetin istismarı kimlik doğrulama gerektirir.

    Üçüncü yüksek seviye zafiyet ise, EPM’in yama yönetimi bileşeninde kriptografik imzaların hatalı doğrulanması olarak tanımlanıyor.

    CVE-2025-13662 olarak izlenen bu zafiyet, uzaktan ve kimlik doğrulama olmadan RCE elde edilmesine imkan tanıyabilir, ancak kullanıcı etkileşimi gerektirir.

    Ivanti, bu zafiyetlerden herhangi birinin şu ana kadar sahada aktif olarak istismar edildiğine dair bilgileri olmadığını belirtiyor. Kullanıcılara, Ivanti EPM’in en güncel sürümüne mümkün olan en kısa sürede yükseltme yapmaları tavsiye ediliyor.

    16 TB’lık Açık Veritabanı Felaketi: 4,3 Milyar Profesyonel Kayıt İfşa Oldu

    Güvenliği olmayan 16 TB’lık bir MongoDB veritabanı, ağırlıklı olarak LinkedIn benzeri verilerden oluşan yaklaşık 4,3 milyar profesyonel kaydı açığa çıkardı. Bu durum, büyük ölçekli ve yapay zeka destekli sosyal mühendislik saldırılarına imkan tanıyor. Veritabanı keşfedildikten 2 gün sonra güvenli hale getirildi. Bu süre zarfında veritabanına kimlerin eriştiğini bilmek mümkün değil.

    Veri setinde yer alan koleksiyonlar şunlar:

    • intent – 2.054.410.607 kayıt (604,76 GB)
    • profiles – 1.135.462.992 kayıt (5,85 TB)
    • unique_profiles – 732.412.172 kayıt (5,63 TB)
    • people – 169.061.357 kayıt (3,95 TB)
    • sitemap – 163.765.524 kayıt (20,22 GB)
    • companies – 17.302.088 kayıt (72,9 GB)
    • company_sitemap – 17.301.617 kayıt (3,76 GB)
    • address_cache – 8.126.667 kayıt (26,78 GB)
    • intent_archive – 2.073.723 kayıt (620 MB)

    En az üç koleksiyonyaklaşık iki milyara yakın kişisel kaydı açığa çıkardı. Bu veriler arasında isimler, e-posta adresleri, telefon numaraları, LinkedIn bağlantıları, iş unvanları, işverenler, iş geçmişi, eğitim bilgileri, konumlar, yetkinlikler, diller ve sosyal medya hesapları bulunuyor.

    “unique_profiles” veri seti tek başına görsel URL’leri de içeren 732 milyondan fazla kayıt barındırıyor. “people” koleksiyonu ise zenginleştirme metrikleri ve Apollo.io ekosistemiyle bağlantılı Apollo ID’lerini içeriyordu; Apollo’ya ait bir ihlale dair herhangi bir bulguya rastlanmadı.

    Sızdırılan veri setinin kime ait olduğu doğrulanamadı. Araştırmacılar, lead-generation (potansiyel müşteri üretimi) yapan bir şirkete işaret eden bazı ipuçları buldu. Sitemap kayıtlarında “/people” ve “/company” yollarının şirketin web sitesine bağlandığı görüldü. Şirket, 700 milyondan fazla profesyonele erişimi olduğunu iddia ediyor; bu rakam, ifşa edilen “unique_profiles” sayısıyla birebir örtüşüyor. Veritabanı, bildirimden birkaç gün sonra çevrimdışı oldu. Buna rağmen araştırmacılar kesin bir atıfta bulunmaktan kaçındı, zira şirketin kendisi de başka kaynaklardan kazınmış (scraped) olabilir.

    Bu sızıntı son derece tehlikeli, çünkü bu kadar büyük ve yapılandırılmış veri setlerioltalama (phishing), CEO dolandırıcılığı, kurumsal keşif (reconnaissance) ve büyük ölçekli yapay zeka destekli saldırılar için ideal bir zemin oluşturuyor. Milyarlarca kayıt, suçluların kişiselleştirilmiş dolandırıcılıkları otomatikleştirmesinehazırlık süresini kısaltmasına ve Fortune 500 çalışanları dahil yüksek değerli hedeflere odaklanmasına imkan tanıyor.

    2025 Ransomware Saldırıları Özeti

    2025 yılı, fidye yazılımı manzarasının sıradan bir siber suçtanulusal güvenlik ve küresel ekonomik istikrarı tehdit eden stratejik bir tehdide evrildiğini gösterdi. 2024’e göre saldırı sayıları %34 ila %50 arttı, Ocak–Eylül döneminde dünya genelinde 4.701 onaylanmış fidye yazılımı olayı kaydedildi, bu da bu tehdit türünün modern tarihinin en sürekli ve yıkıcı siber risklerinden biri olduğunu ortaya koyuyor.

    2025’te sıradışı bir trend ortaya çıktı: saldırı hacimleri rekor düzeylere ulaşırkenfidye ödeme oranları tarihsel olarak düşük seviyelere geriledi. Bu durum saldırı modeli üzerinde derin bir yapısal değişime yol açtı; fidye yazılımı suç ekonomisinin temel işleyişi, ödeme yapmayan kurum sayısının artmasıyla ciddi şekilde sarsıldı.

    Fidye Yazılımı Ekosisteminde Parçalanma ve Gelişen Taktikler

    2025’te büyük fidye yazılımı organizasyonları üzerindeki kolluk kuvveti baskıları, ekosistemde dramatik bir parçalanma ve merkeziyetsizlik yarattı. Büyük operasyonların faaliyetlerinin durmasıyla birlikte 45 yeni tehdit grubu gözlemlendi ve toplamda en az 85 aktif fidye yazılımı grubu tespit edildi. Bu beş yılın en yüksek seviyesi olarak dikkat çekiyor.

    Bu yayılma, saldırı taktiklerinde sofistike evrimler ile aynı zamana denk geldi: çift ve üçlü şantaj (double & triple extortion)yapay zeka destekli oltalama kampanyaları, bulut altyapısı ve operasyon teknolojisi sistemlerine yönelik hedefli istismarlar gibi karmaşık yöntemler yaygınlaştı.

    Kritik Sektörler Hedefte

    2025’te fidye yazılımı saldırılarının %50’si kritik altyapı sektörlerini hedef aldı: imalat, sağlık, enerji, ulaşım ve finans gibi hizmetler bu saldırıların yarısını oluşturdu. Bu da fidye yazılımını sadece finansal bir suç olmaktan çıkarıp endüstriyel operasyonları kesintiye uğratabilen, kamu güvenliğini tehdit eden bir araca dönüştürdü.

    Ransomware saldırı hacimleri hızla artarken, fidye ödeme oranları dramatik şekilde düşmeye devam etti. Artan yedekleme ve kurtarma yetenekleri, fidye ödemelerinin dosya kurtarmada garanti sağlamadığı farkındalığı ve daha güçlü siber güvenlik duruşları, birçok organizasyonun ödeme yerine kendi kurtarma süreçlerini tercih etmesine yol açtı.

    Bu eğilim, fidye yazılımı suç ekonomisinin varoluşsal bir krizle karşı karşıya olduğunu gösteriyor. Saldırganlar, her dolar için çok daha fazla çaba harcamak zorunda kalıyor; çünkü ödeme yapan kurban oranı dramatik şekilde azalmış durumda.

    Fidye Yazılımı Ekosistemindeki Öne Çıkan Gruplar

    2025’te fidye yazılımı sahnesi yeniden şekillendi:

    • Qilin, 701’den fazla kurbanla en aktif gruplardan biri olarak öne çıktı. Bu grup, çifte şantaj kullanarak şifreleme ve veri sızdırma tehditlerini birleştirdi.
    • Cl0p, sıfır-gün (zero-day) zafiyetleri yoğun şekilde kullanarak tedarik zinciri saldırılarında büyük etki yarattı ve yalnızca veri çalma üzerinden fidye stratejisi benimsedi.
    • LockBit, 5.0 sürümüyle yeniden dirildi ve birçok bölgede yeniden yaygın hale geldi.

    Bu aktörler, uzaktan erişim araçlarının kötüye kullanımı, eski yazılım zafiyetlerinin etkili istismarı ve yapay zeka destekli oltalama gibi çeşitli yöntemler kullanarak operasyonlarını sürdürdüler.

    Veri Sızdırma Siteleri: Psikolojik Baskı Aracı

    2025 boyunca aktif veri sızdırma sitelerinin sayısı rekor kırdı. Bu siteler, fidye taleplerine uymayan kurbanları çevrimiçi veri sızıntılarıyla yüzleştirerek baskı yaratmak için psikolojik savaş aracı haline geldi.

    2025 yılı, fidye yazılımının artık sadece dosya şifreleme ve ödeme talebi olmadığı; ulusal düzeyde operasyonel, ekonomik ve toplumsal güvenliği tehdit eden stratejik bir araç haline geldiğini gösterdi. Kritik sektörlerdeki artan saldırı hacimleri ve daha karmaşık taktikler, kurumların sadece teknik savunmalara değil, aynı zamanda stratejik direnç ve kapsamlı siber risk yönetimine odaklanması gerektiğini ortaya koydu.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    Yayınlayan: Yayın Tarihi:
    Labels: , , , , , ,

    07 Mart 2025

    Siber Güvenlik Bülteni - Şubat 2025

     

    Bültenimizin Şubat Ayı konu başlıkları; 
      • 2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor
      • Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı
      • Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor
      • VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor
      • SonicWall Firewall Authentication Bypass Zafiyeti

      2025’te Fidye Yazılım Grupları Büyümeye Devam Ediyor

      2024 yılında küresel fidye yazılımı (ransomware) saldırıları 2023’e göre %11’lik bir artış gösterdi.

      Yılın başında düşük seyreden saldırılar, ikinci çeyrekte (Q2) artış gösterdi ve dördüncü çeyrekte (Q4) zirveye ulaştı. LockBit gibi büyük gruplara yönelik kolluk kuvvetlerinin müdahaleleri nedeniyle bu gruplar parçalandı ve daha küçük grupların rekabeti arttı. Sonuç olarak, aktif fidye yazılımı gruplarının sayısı %40 artarak 2023’teki 68’den 2024’te 95’e yükseldi.

      Yeni Fidye Yazılımı Grupları

      2023 yılında 27 yeni fidye yazılımı grubu ortaya çıkmışken, 2024'te bu sayı büyük bir artış göstererek 46’ya ulaştı. Özellikle yılın ilerleyen dönemlerinde, Q4 2024 itibarıyla 48 aktif fidye yazılımı grubu tespit edildi.

      2024 yılında ortaya çıkan 46 yeni grup içinde RansomHub, en baskın hale gelerek LockBit'in faaliyetlerini geride bıraktı. Bu yazıda, RansomHub, Fog ve Lynx adlı yeni oyuncuları ve 2024 üzerindeki etkilerini, kökenlerini ve saldırı taktiklerini inceleyeceğiz.
       
      RansomHub

      RansomHub, 2024'ün en büyük fidye yazılımı grubu olarak öne çıktı ve Şubat 2024'teki başlangıcından itibaren 531 saldırı gerçekleştirdi. FBI’ın ALPHV'yi çökertmesinin ardından, RansomHub onun "manevi halefi" olarak görülüyor ve eski ALPHV ortaklarını içerdiği düşünülüyor.
      Bir Hizmet Olarak Fidye Yazılımı (RaaS) modeliyle çalışan RansomHub, sıkı ortaklık anlaşmaları uyguluyor. Kurallara uymayan ortaklar, işbirliklerinden men ediliyor. Fidye gelirleri %90 ortaklara, %10 RansomHub ekibine gidiyor.

      RansomHub, küresel bir hacker topluluğuna hitap ettiğini iddia etse de Rusya'ya bağlı ülkelere saldırmıyor (CIS ülkeleri, Küba, Kuzey Kore, Çin ve kâr amacı gütmeyen kuruluşlar). Bu, Rus fidye yazılım ekosistemiyle bağlantılı olabileceğini gösteriyor.

      Cyberint'in Ağustos 2024 bulgularına göre saldırılarının yalnızca %11.2'si ödeme ile sonuçlandı (190 saldırıdan 20’si). RansomHub, az ödeme almasına rağmen yüksek saldırı hacmiyle kârlılığı hedefliyor.
       
      Fog Fidye Yazılımı

      Fog fidye yazılımıNisan 2024'te ortaya çıktı ve özellikle ABD'deki eğitim kurumlarını hedef aldı.
      • Saldırı sayısı: 2024’te 87 kuruluş
      • Saldırı yöntemi: Çalınmış VPN kimlik bilgileri
      • Çift tehdit (double extortion): Ödeme yapılmazsa, veriler TOR tabanlı bir sızıntı sitesinde yayınlanıyor.
      Saldırı yöntemi:

      Arctic Wolf'un Kasım 2024 raporuna göre, Fog 30’dan fazla saldırı gerçekleştirdi ve bunların çoğu SonicWall VPN hesapları üzerinden yapıldı. %75'i Akira fidye yazılımıyla bağlantılı, geri kalanı Fog grubuna ait.
      Fog, eğitim sektörü dışında iş hizmetleri, seyahat ve üretim sektörlerini de hedef alıyor.

      Fog fidye yazılımı, erişim sağladıktan sonra 2 saat içinde şifreleme işlemini tamamlıyor.
       
       
      Lynx Fidye Yazılımı

      Lynx, çift tehdit (double extortion) stratejisi kullanan aktif bir fidye yazılım grubu olarak dikkat çekiyor.
      • 2024’te 70'ten fazla kurbanı oldu.
      • Hedefler: Devlet kurumları, hastaneler, kâr amacı gütmeyen kuruluşlar ve kritik altyapılar dışında birçok sektörü hedef alıyor.
      Saldırı yöntemi:

      Sisteme girdikten sonra .LYNX uzantısı ile dosyaları şifreliyor ve farklı dizinlere README.txt adında fidye notu bırakıyor.
       
       
      2025'te Fidye Yazılımı (Ransomware) Gruplarınde Neler Olacak
       
      • 2025’te RansomHub gibi yeni liderlerin çıkması bekleniyor.
      • Küçük ve orta ölçekli gruplar, daha büyük grupların boşluklarını doldurmak için hızla organize olabilir.
      • Rusya, Çin ve Kuzey Kore gibi devlet destekli grupların daha sofistike saldırılar geliştirmesi bekleniyor.
      • Saldırganlar, daha az tespit edilen sıfır gün açıklarını ve sosyal mühendislik taktiklerini daha sık kullanabilir.
      • Sağlık sektörü, finans, üretim ve eğitim kurumları daha büyük risk altında olacak.
      • Küçük ve orta ölçekli işletmeler (KOBİ'ler) daha fazla hedef alınabilir çünkü genellikle güçlü güvenlik önlemleri bulunmuyor.
      • Çift tehdit (double extortion): Verileri şifrelemenin yanı sıra, çalınan bilgileri sızdırmakla tehdit eden gruplar yaygınlaşacak.
      • Hizmet olarak fidye yazılımı (RaaS) büyümeye devam edecek, bu da fidye yazılımının daha erişilebilir olmasını sağlayacak.
      • Daha fazla şirket APT (İleri Seviye Tehdit Algılama ve Engelleme) çözümlerinesıfır güven mimarisine ve yapay zeka destekli güvenlik çözümlerine yatırım yapacak.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Palo Alto PAN-OS Kimlik Doğrulama Bypass Güvenlik Açığı

      Palo Alto Networks, PAN-OS yazılımında kimlik doğrulama atlamasına neden olabilecek yüksek öneme sahip bir güvenlik açığını giderdi.

      CVE-2025-0108 : Palo Alto Networks PAN-OS yazılımında bulunan bir kimlik doğrulama atlama açığı, yönetim web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir saldırganın, normalde PAN-OS yönetim web arayüzü tarafından talep edilen kimlik doğrulamasını atlamasına ve belirli PHP komut dosyalarını çalıştırmasına olanak tanır.

      Etkilenen PAN-OS Sürümleri
       
      PAN-OS Sürümü Etkilenen Versiyonlar Düzeltildiği Sürüm
      PAN-OS 11.2< 11.2.4-h4>= 11.2.4-h4
      PAN-OS 11.1< 11.1.6-h1>= 11.1.6-h1
      PAN-OS 11.0EOL (Desteklenmiyor)Güncellenmeli
      PAN-OS 10.2< 10.2.13-h3>= 10.2.13-h3
      PAN-OS 10.1< 10.1.14-h9>= 10.1.14-h9

      Güvenlik araştırmacısı Adam Kues, bu açığın, arayüzdeki Nginx ve Apache bileşenlerinin gelen istekleri farklı şekilde ele alması nedeniyle oluşan bir dizin geçiş (directory traversal) saldırısı olduğunu belirtti.

      Diğer Güvenlik Açıkları
      Palo Alto Networks ayrıca şu iki güvenlik açığını da giderdi:

      CVE-2025-0109 (CVSS puanı: 5.5)
      • PAN-OS yönetim web arayüzünde, ağ erişimi olan kimliği doğrulanmamış bir saldırganın "nobody" kullanıcısı olarak belirli dosyaları (bazı loglar ve yapılandırma dosyaları dahil) silmesine olanak tanıyan bir güvenlik açığı.
      • Düzeltildiği sürümler: 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9
      CVE-2025-0110 (CVSS puanı: 7.3)
      • PAN-OS OpenConfig eklentisinde, kimliği doğrulanmış bir yöneticinin gNMI istekleri yaparak sistem kısıtlamalarını atlatmasına ve keyfi komutlar çalıştırmasına olanak tanıyan bir komut enjeksiyonu güvenlik açığı.
      • Düzeltildiği sürüm: PAN-OS OpenConfig Plugin 2.1.2

      Riskin Azaltılması İçin Alınabilecek Önlemler

      Bu güvenlik açıklarından kaynaklanan riski azaltmak için şu adımlar önerilmektedir:
      • İnternete veya güvenilmeyen ağlara açık yönetim arayüzlerini devre dışı bırakmak.
      • OpenConfig kullanmayan müşterilerin bu eklentiyi devre dışı bırakmaları veya kaldırmaları.
       

      CVE-2025-0108 Aktif Olarak Sömürülüyor!

      Tehdit istihbarat firması GreyNoise, Palo Alto Networks PAN-OS’u etkileyen bu yeni kimlik doğrulama atlama açığının aktif olarak sömürüldüğünü bildiriyor.

      GreyNoise tarafından paylaşılan verilere göre, saldırılar ABD, Çin ve İsrail'deki beş benzersiz IP adresinden kaynaklanıyor.

      "Bu yüksek öneme sahip güvenlik açığı, kimliği doğrulanmamış saldırganların belirli PHP komut dosyalarını çalıştırmasına izin vererek, savunmasız sistemlere yetkisiz erişim sağlama potansiyeli taşır."
      — GreyNoise Araştırma Ekibi
       

      Palo Alto Networks'ten Açıklama: Aktif Sömürü Teyit Edildi

      Palo Alto Networks, yaptığı bir açıklamada, CVE-2025-0108 güvenlik açığının aktif olarak sömürüldüğünü doğruladı ve müşterilere derhal güvenlik güncellemelerini uygulamaları çağrısında bulundu:

      "Müşterilerimizin güvenliği en büyük önceliğimizdir. Palo Alto Networks, PAN-OS web yönetim arayüzünde bulunan bir güvenlik açığı (CVE-2025-0108) üzerine aktif sömürü girişimlerinin olduğunu doğrulamıştır.

      Bu güvenlik açığı, CVE-2024-9474 gibi diğer güvenlik açıklarıyla zincirleme olarak kullanılırsa, yamalanmamış ve güvenli olmayan güvenlik duvarlarına yetkisiz erişim sağlanabilir."
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Massive Brute Force Saldırısı, 2.8 milyon IP ile Saldırıyor

      Palo Alto Networks, Ivanti ve SonicWall gibi birçok ağ cihazının kimlik bilgilerini tahmin etmeye çalışan, 2,8 milyon IP adresi kullanılarak gerçekleştirilen büyük ölçekli bir brute force şifre saldırısı devam ediyor.

      Brute force saldırısı, tehdit aktörlerinin birçok kullanıcı adı ve parola kombinasyonunu tekrar tekrar deneyerek doğru olanı bulmaya çalıştıkları bir saldırı türüdür. Doğru kimlik bilgilerine eriştiklerinde, saldırganlar cihazları ele geçirebilir veya bir ağa erişim sağlayabilirler.

      Bu IP adreslerinin çoğu (1,1 milyonuBrezilya'dan, ardından Türkiye, Rusya, Arjantin, Fas ve Meksika’dan geliyor. Ancak saldırılara çok sayıda farklı ülkeden katılım olduğu belirtiliyor.

      Hedeflenen Cihazlar ve Kullanılan Araçlar

      Bu saldırılar güvenlik duvarları (firewall), VPN’ler, ağ geçitleri (gateway) ve diğer güvenlik cihazları gibi internete açık kenar (edge) güvenlik cihazlarını hedef alıyor. Bu cihazlar genellikle uzaktan erişimi kolaylaştırmak amacıyla internete maruz bırakılıyor.

      Saldırıları gerçekleştiren cihazlar büyük ölçüde MikroTik, Huawei, Cisco, Boa ve ZTE yönlendiriciler (router) ve IoT cihazlarıdır. Bu tür cihazlar genellikle büyük kötü amaçlı yazılım botnetleri tarafından ele geçirilmiş oluyor.
       
       
      Botnet ve Residential Proxy Kullanımı

      Shadowserver ayrıca saldırı gerçekleştiren IP adreslerinin birçok farklı ağ ve Otonom Sistem (AS) arasında dağıldığını ve büyük olasılıkla bir botnet veya residential proxy (ev tipi vekil sunucu) ağıyla ilişkili olduğunu belirtti.

      Residential proxy’ler, internet servis sağlayıcıları (ISP) tarafından tüketici müşterilerine atanan IP adresleridir ve bu nedenle siber suç, veri kazıma (scraping), coğrafi kısıtlamaları aşma, reklam doğrulama, sneaker/ticket botları gibi birçok yasa dışı faaliyet için oldukça rağbet görmektedir.

      Bu proxy’ler internet trafiğini ev ağları üzerinden yönlendirerek, kullanıcının bir bot, veri kazıyıcı veya hacker yerine sıradan bir ev kullanıcısı gibi görünmesini sağlar.

      Bu saldırılarda hedef alınan ağ geçidi cihazları (gateway), residential proxy operasyonlarında bir çıkış noktası olarak kullanılabilir ve bu da kötü amaçlı trafiğin bir kurumsal ağ üzerinden yönlendirilmesine yol açabilir.

      Bu tür düğümler (nodes) “yüksek kaliteli” olarak kabul edilir, çünkü organizasyonların genellikle iyi bir itibarı vardır ve saldırıları tespit etmek ve durdurmak daha zordur.
       
       
      Geçmişteki Benzer Büyük Ölçekli Brute Force Saldırıları
       
       
      📌 Geçen Nisan ayında, Cisco dünya çapında Cisco, CheckPoint, Fortinet, SonicWall ve Ubiquiti cihazlarını hedef alan büyük ölçekli bir kimlik bilgisi brute force saldırısı hakkında uyarıda bulunmuştu.

      📌 Geçen Aralık ayında ise, Citrix dünya çapında Citrix Netscaler cihazlarını hedef alan parola püskürtme (password spray) saldırıları konusunda uyarılar yayınlamıştı.

      VO1D Botnet 226 ülkede 1.59m enfekte Android TV Yönetiyor

      Brezilya, Güney Afrika, Endonezya, Arjantin ve Tayland, Vo1d adlı bir botnet zararlısı tarafından enfekte edilen Android TV cihazlarını hedef alan bir kampanyanın odak noktası haline geldi.

      Vo1d'un geliştirilmiş varyantının, günlük 800.000 aktif IP adresini kapsadığı ve botnet'in 19 Ocak 2025'te 1.590.299 zirveye ulaştığı bildirildi. Bu saldırılar, 226 ülke ve bölgeye yayılmış durumda25 Şubat 2025 itibarıyla, Hindistan’da enfekte olan cihazların oranı %1’in altındayken (3.901 cihaz), %18,17’ye (217.771 cihaz) yükseldi.

      QiAnXin XLab; "Vo1d, gizlilik, dayanıklılık ve tespit edilmezlik yeteneklerini geliştirmek için evrim geçirdi, RSA şifreleme, ağ iletişimini güvence altına alarak komuta ve kontrol (C2) sunucusunun ele geçirilmesini önlüyor. Her yük, XXTEA şifreleme ve RSA korumalı anahtarlar içeren benzersiz bir indirici kullanıyor, bu da analiz edilmesini zorlaştırıyor."

      Bu zararlı yazılım ilk olarak Eylül 2024'te Doctor Web tarafından belgelendi ve Android tabanlı TV kutularına yönelik bir arka kapı olarak tanımlandı. C2 sunucusundan gelen talimatlara göre ek çalıştırılabilir dosyalar indirip çalıştırma yeteneğine sahip.

      Cihazların nasıl ele geçirildiği tam olarak belli değil, ancak tedarik zinciri saldırısı veya yerleşik root erişimi içeren resmi olmayan üretici yazılımı (firmware) kullanımı ihtimali üzerinde duruluyor.

      Google, The Hacker News’e yaptığı açıklamada, enfekte cihazların "markasız" TV modelleri olduğunu, Play Protect sertifikasına sahip Android cihazlar olmadığını ve büyük ihtimalle Android Açık Kaynak Projesi (AOSP) kod deposundan alınan kaynak kodu kullandıklarını belirtti.

      Bu zararlı yazılım kampanyasının büyük ölçekli bir operasyon olarak yürütüldüğü ve temel amacının bir vekil (proxy) ağı oluşturmak ve reklam tıklama dolandırıcılığı yapmak olduğu belirtiliyor.

      XLab, botnet’in bölgesel olarak suç örgütlerine kiralandığını, bu yüzden aktivitenin dalgalanma gösterdiğini öne sürüyor. Bu model, "kira-iade" döngüsü (rental-return cycle) olarak tanımlanıyor; yani botlar belli bir süre boyunca yasa dışı operasyonlara olanak sağlıyor, ardından daha büyük Vo1d ağına geri katılıyor.

      Bu yük, C2 sunucusuyla iletişim kurmak için tasarlanmıştır. Şifrelenmiş sıkıştırılmış paket (ts01) şu dört dosyayı içerir:
      • install.sh
      • cv
      • vo1d
      • x.apk
      Zararlı yazılım öncelikle bir kabuk betiği (shell script) çalıştırarak cv bileşenini başlatır. Bu bileşen daha sonra hem vo1d modülünü hem de Android uygulamasını kurup çalıştırır.

      Vo1d modülünün ana işlevi, gömülü bir yükü (payload) şifreyi çözüp yüklemek, bir arka kapı oluşturmak ve C2 sunucusuyla iletişim sağlayarak yeni zararlıları indirmek ve çalıştırmaktır.
       
       
      Zararlı Android Uygulaması: Sahte Google Play Hizmetleri

      Zararlı Android uygulaması, "com.google.android.gms.stable" paket adını taşıyor, bu da gerçek Google Play Hizmetleri’ni ("com.google.android.gms") taklit etmek amacı taşıyor.
      Bu sayede tespit edilmekten kaçınarak sistemde kalıcı hale geliyor. Bunu yapmak için cihaz her yeniden başlatıldığında otomatik olarak çalışmasını sağlayan "BOOT_COMPLETED" olayını dinliyor.

      Ayrıca vo1d modülüne benzer işlevlere sahip iki ek bileşeni başlatıyor.

      Vo1d'un hizmetlerinin diğer tehdit aktörlerine kiralanıyor olabileceği düşünülüyor.

      SonicWall Firewall Authentication Bypass Zafiyeti

      Siber güvenlik firmaları, CVE-2024-53704 olarak izlenen SonicWall güvenlik duvarlarındaki kritik kimlik doğrulama atlatma açığının artık gerçek saldırılarda aktif olarak kullanıldığını bildirdi.

      Bu saldırılardaki artış, 10 Şubat 2025'te Bishop Fox araştırmacıları tarafından kamuya açık olarak yayınlanan kanıtlanmış kavram (PoC) sömürü kodunun ardından hız kazandı ve yamalanmamış cihazları olan kuruluşlar için riskleri artırdı.

      CVE-2024-53704CVSS ölçeğinde 9,3 puanla derecelendirilen ve SonicOS işletim sisteminin SSL VPN kimlik doğrulama mekanizmasında bulunan bir güvenlik açığıdır. Bu işletim sistemi, SonicWall’ın Gen 6, Gen 7 ve TZ80 güvenlik duvarlarını çalıştırmaktadır.

      Bu açığın başarılı bir şekilde sömürülmesi, çok faktörlü kimlik doğrulamanın (MFA) atlatılmasına, özel ağ yollarının açığa çıkmasına ve yetkisiz kullanıcıların iç kaynaklara erişmesine olanak tanır. Ayrıca, ele geçirilen oturumlar sayesinde tehdit aktörleri meşru kullanıcı bağlantılarını sonlandırabilir.

      CVE-2024-53704’ün Gerçek Saldırılarda Kullanımı

      SonicWall, bu güvenlik açığını 7 Ocak 2025'te açıkladı ve derhal yamaların uygulanması gerektiğini duyurdu. O dönemde, şirket bu açığın aktif olarak sömürüldüğüne dair bir kanıt olmadığını belirtmişti.

      Ancak Bishop Fox’un PoC yayınlaması, saldırganlar için sömürme eşiğini önemli ölçüde düşürdü.
      • 12 Şubat itibarıyla, Arctic Wolf güvenlik araştırmacıları, öncelikli olarak sanal özel sunucular (VPS) üzerinden gelen ondan az farklı IP adresinden saldırı girişimleri tespit etti.
      • Güvenlik analistleri, SonicWall cihazlarının tarihsel olarak fidye yazılım grupları (Akira, Fog) tarafından hedef alınması nedeniyle güvenlik açığının hızla silahlandırıldığını belirtiyor.
      Etkilenen firmware sürümleri:
      • SonicOS 7.1.x (7.1.1-7058’e kadar)
      • SonicOS 7.1.2-7019
      • SonicOS 8.0.0-8035
      Yamalanmış sürümler, Ocak 2025'te yayınlandı:
      • SonicOS 8.0.0-8037
      • SonicOS 7.1.3-7015

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Yayınlayan: Yayın Tarihi:
      Labels: , , , ,

      01 Kasım 2024

      Siber Güvenlik Bülteni - Ekim 2024

       

      Bültenimizin Ekim Ayı konu başlıkları; 
        • Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti
        • Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı
        • Palo Alto Networks, PAN-OS Zafiyeti
        • Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 
        • 1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

        Fortinet Sıfırıncı Gün Açığı: FortiManager Güvenlik Zafiyeti

        Yakın zamanda Fortinet tarafından yamalanan bir sıfırıncı gün güvenlik açığının, Haziran 2024’ten beri tehdit aktörleri tarafından aktif olarak kullanıldığı ortaya çıktı. Google Cloud’un tehdit istihbarat birimi Mandiant, geçtiğimiz günlerde yaptığı açıklamada, bu güvenlik açığının Fortinet müşterilerini ciddi bir tehdit altına soktuğunu belirtti.

        FortiManager Güvenlik Zafiyeti Hakkında

        FortiManager, Fortinet’in FortiGate         güvenlik duvarlarını merkezi olarak yönetme imkanı sunan bir üründür. Bu ürün, müşterilere ağlarındaki cihazları merkezi bir noktadan yönetme kolaylığı sağlamaktadır. Ancak, yeni keşfedilen bu güvenlik açığı, uzaktan kimlik doğrulama gerektirmeden saldırganların rastgele kod çalıştırabilmesine imkan tanımaktadır.

        Araştırmacı, bu güvenlik açığına dair ilk belirtilerin ortaya çıkmasından itibaren Fortinet’in müşteri bilgilendirmelerini ve güncellemelerini yakından takip etti. İlk başta Fortinet müşterilerine sadece geçici çözümler sunarken, kısa bir süre sonra yama yayınlamaya başladı.

        CVE-2024-47575 Açığı

        Fortinet, CVE-2024-47575 olarak tanımlanan bu güvenlik açığını geçtiğimiz Çarşamba günü kamuoyuna açıkladı ve her etkilenen FortiManager sürümü için gerekli yamaların yayımlandığını duyurdu. Şirket ayrıca, güvenlik açığı için alternatif çözümler ve kurtarma yöntemleri hakkında müşterilerini bilgilendirdi.

        Fortinet, bu güvenlik açığının hali hazırda herkese açık ortamda kötüye kullanıldığını doğrulasa da, şu ana kadar FortiManager sistemlerinde düşük seviyeli bir zararlı yazılım veya arka kapı kurulumu bildirilmediğini belirtti. Ayrıca, etkilenen sistemlerde veri tabanlarının değiştirilmediği ve yönetilen cihazlarla olan bağlantılar üzerinde bir değişiklik tespit edilmediği aktarıldı.

        Yeni Tehdit Kümesi UNC5820

        Fortinet’in güvenlik açığını araştıran Mandiant, Çarşamba günü yayınladığı bir blog yazısında, bu sıfırıncı gün saldırılarının dünya çapında 50’den fazla kurbanı olduğunu açıkladı. Kurbanlar, çeşitli ülkelerden ve farklı sektörlerden gelmektedir. Ancak Mandiant, saldırganların konumu veya motivasyonu hakkında yeterli veri bulunmadığından dolayı, bu saldırıları “UNC5820” adı verilen yeni bir tehdit kümesi olarak takip etmektedir.

        Mandiant araştırmacıları, CVE-2024-47575 güvenlik açığının 27 Haziran 2024’ten bu yana aktif olarak kötüye kullanıldığını gösteren kanıtlar elde etti. Araştırmacılara göre, bu güvenlik açığı, saldırganların FortiManager üzerinden veri sızdırmasına, yönetilen Fortinet cihazlarına erişim sağlamasına ve nihayetinde tüm kurumsal ağı hedef almasına olanak tanımaktadır.

        FortiJump: Devlet Destekli Casusluk İddiaları

        Güvenlik araştırmacıları, bu güvenlik açığını “FortiJump” olarak adlandırdı ve bu açığın devlet destekli tehdit aktörleri tarafından yönetilen hizmet sağlayıcılar (MSP'ler) aracılığıyla casusluk amaçlı kullanıldığına inandığını belirtti. FortiManager üzerinden FortiGate güvenlik duvarlarına erişim sağlanabileceğini, yapılandırma dosyalarının görüntülenebileceğini, kimlik bilgileri alınabileceğini ve yapılandırmaların değiştirilebileceğini belirtti. Bu nedenle, özellikle MSP’lerin FortiManager kullanımı yaygın olduğundan, bu açıktan yararlanarak farklı ağlara erişim sağlanması oldukça mümkündür.

        FortiManager Güvenlik Açığının Yaygınlığı

        Araştırmacıların yönetimindeki FortiManager honeypot sistemi, saldırı girişimlerini gözlemlemek için kullanılıyor ve internet üzerinden erişilebilen on binlerce sistem bulunduğunu belirtiyor. Ancak bu sistemlerin sahiplerinin, herkese açık ortamda aktif olarak kullanılan güvenlik açıklarına karşı yamaları uygulamakta yavaş davrandıkları gözlemleniyor.

        İhlal Göstergeleri ve Güvenlik Önerileri

        CVE-2024-47575 güvenlik açığını istismar eden saldırılara ait ihlal göstergeleri (IoC), hem Fortinet hem de Mandiant tarafından kamuya sunulmuş durumda. Fortinet, müşterilerin sistemlerini koruma altına almak için yamaları hızla yüklemelerini öneriyor ve bunun yanı sıra veri güvenliği için alternatif çözümler sunuyor.

        Bu gelişmeler ışığında, güvenlik açığına karşı duyarlı sistem sahiplerinin sistemlerini acilen güncellemeleri, IoC’leri takip etmeleri ve gerekirse alternatif güvenlik önlemleri almaları oldukça önemlidir.
         

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Cisco ASA ve Firepower Threat Defense (FTD) Yazılımlarında Hizmet Engelleme (DoS) Açığı

        CiscoNisan ayında Cisco VPN cihazlarına karşı gerçekleştirilen büyük çaplı kaba kuvvet saldırıları sırasında keşfedilen hizmet engelleme (DoS) açığını gidermek için bir güvenlik güncellemesi yayınladı. CVE-2024-20481 olarak izlenen bu açık, Cisco ASA ve Cisco FTD yazılımlarının en son sürümlerine kadar olan tüm versiyonlarını etkilemektedir.

        Güvenlik açığı hakkında:

        Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) yazılımlarının Uzaktan Erişim VPN (RAVPN) hizmetinde bulunan bu açık, kimliği doğrulanmamış uzak bir saldırganın RAVPN hizmetinde DoS saldırısı gerçekleştirmesine olanak tanır. Bu güvenlik açığı, kaynakların tükenmesinden kaynaklanmaktadır. Saldırgan, etkilenmiş bir cihaza çok sayıda VPN kimlik doğrulama isteği göndererek kaynakları tüketebilir ve bu da cihazda RAVPN hizmetinin DoS durumuna düşmesine neden olabilir. Cisco, bu DoS saldırısı bir cihazı etkilediğinde, RAVPN hizmetlerini geri yüklemek için cihazın yeniden başlatılmasının gerekebileceğini belirtmektedir.

        Cisco Ürün Güvenliği Olay Yanıt Ekibi (PSIRT), bu güvenlik açığının aktif olarak istismar edildiğini bildirse de, Cisco ASA cihazlarının DoS saldırılarında hedef alınmadığını vurgulamaktadır. Açık, büyük çaplı VPN hizmetlerine yönelik kaba kuvvet şifre saldırıları sırasında tespit edilmiştir. Bu saldırılar aşağıdaki VPN hizmetlerini hedef almaktaydı:
        • Cisco Secure Firewall VPN
        • Checkpoint VPN
        • Fortinet VPN
        • SonicWall VPN
        • RD Web Services
        • Miktrotik
        • Draytek
        • Ubiquiti
        Bu saldırılar, kurumsal ağlar için geçerli VPN kimlik bilgilerini toplamak amacıyla düzenlenmiştir. Toplanan kimlik bilgileri, karaborsada satılabilir, fidye yazılımı gruplarına ilk erişim sağlamak için kullanılabilir veya veri hırsızlığı saldırılarında ağlara sızmak için değerlendirilebilir.

        Güvenlik açığının tespiti ve giderilmesi:

        Bu hata, yazılımın VPN kimlik doğrulama girişimleri sırasında ayrılan kaynakları (örneğin, belleği) düzgün bir şekilde serbest bırakmaması anlamına gelen bir CWE-772 güvenlik açığı olarak sınıflandırılmıştır. Açığın yalnızca RAVPN hizmeti etkinleştirildiğinde sömürülebileceği belirtilmektedir. Yöneticiler, bir cihazda SSL VPN’in etkin olup olmadığını öğrenmek için şu komutu kullanabilir:

        firewall# show running-config webvpn | include ^ enable

        Bu komuttan çıktı alınamazsa, RAVPN hizmeti etkin değil demektir.

        Diğer Cisco Güvenlik Açıkları

        Cisco, çeşitli ürünlerinde bulunan 42 güvenlik açığı için 37 güvenlik danışmanlığı yayınlamıştır. Bu güvenlik açıkları arasında Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) ve Adaptive Security Appliance (ASA) ürünlerini etkileyen üç kritik güvenlik açığı bulunmaktadır. Bu açıkların herkese açık ortamda aktif olarak istismar edildiğine dair bir kanıt olmamakla birlikte, önem dereceleri göz önünde bulundurularak sistem yöneticilerinin bu açıkları hemen yamalamaları önerilmektedir.

        Özet:
        • CVE-2024-20424: Cisco FMC yazılımının web tabanlı yönetim arayüzünde komut enjeksiyonu açığı. HTTP isteklerinin yetersiz doğrulamasından kaynaklanmaktadır. Bu açık, uzaktan kimliği doğrulanmış bir saldırganın root yetkileriyle OS komutları çalıştırmasına olanak tanır. (CVSS v3.1 puanı: 9.9)
        • CVE-2024-20329: Cisco ASA yazılımında uzaktan komut enjeksiyonu açığı. SSH üzerinden uzaktan CLI komutlarının yetersiz kullanıcı girişi doğrulamasından kaynaklanır. Bu açık, kimliği doğrulanmış uzaktan bir saldırganın root seviyesinde OS komutları çalıştırmasına imkan tanır. (CVSS v3.1 puanı: 9.9)
        • CVE-2024-20412: Firepower 1000, 2100, 3100 ve 4200 Serisi cihazlarda bulunan statik kimlik bilgileri, yerel saldırganların hassas verilere sınırsız erişim sağlamasına ve yapılandırma değiştirmelerine olanak tanır. (CVSS v3.1 puanı: 9.3)

        Ek Bilgiler ve Önerilen Çözümler:

        CVE-2024-20424 hatası, savunmasız bir FMC sürümü çalıştıran tüm Cisco ürünlerini etkiler ve bu açık için herhangi bir geçici çözüm sunulmamıştır.

        CVE-2024-20329 açığını önlemek için savunmasız CiscoSSH yığını devre dışı bırakılmalı ve native SSH yığını şu komutla etkinleştirilmelidir:

        no ssh stack ciscossh

        Bu işlem aktif SSH oturumlarını sonlandırır ve kalıcı olması için değişikliklerin kaydedilmesi gerekmektedir.

        CVE-2024-20412 açığının FTD Yazılım sürümleri 7.1 ile 7.4 arasında, VDB sürüm 387 veya daha eski versiyonlarda etkili olduğu belirtilmektedir. Bu sorun için Cisco’nun Teknik Destek Merkezi (TAC) aracılığıyla geçici çözümler sunulmaktadır.

        CVE-2024-20412 için, yazılım üreticisi, kötü amaçlı etkinlik tespiti için belirtiler sağlamıştır. Statik kimlik bilgilerinin kullanıldığını kontrol etmek için şu komut kullanılabilir:

        zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)"/ngfw/var/log/messages*

        Bu komutla başarılı giriş denemeleri listeleniyorsa, bu durum istismar belirtisi olabilir. Komuttan çıktı alınamazsa, log süresi boyunca varsayılan kimlik bilgileri kullanılmamıştır.

        CVE-2024-20424 ve CVE-2024-20329 için istismar tespiti önerisi bulunmasa da, olağandışı olaylar için günlük kayıtlarını gözden geçirmek şüpheli etkinlikleri bulmak için etkili bir yöntemdir. Üç açığa yönelik güncellemeler Cisco Software Checker aracı ile temin edilebilir.

        Palo Alto Networks, PAN-OS Zafiyeti

        Palo Alto Networks, PAN-OS güvenlik duvarlarının ele geçirilmesine yol açabilecek güvenlik açıklarını gidermek için müşterilerini acil olarak yamaları uygulamaları konusunda uyardı. Bu güvenlik açıkları, Palo Alto Networks'ün diğer Checkpoint, Cisco veya desteklenen satıcılardan gelen yapılandırmaları taşımasına yardımcı olan Expedition çözümünde tespit edildi.

        Bu güvenlik açıkları, güvenlik duvarı yönetici hesaplarının ele geçirilmesine yardımcı olabilecek kullanıcı kimlik bilgileri gibi hassas verilere erişim sağlamak için kötüye kullanılabilir. Palo Alto Networks, bu açığın kötüye kullanılması durumunda, Expedition veritabanı içeriğinin ve diğer hassas dosyaların okunmasının yanı sıra geçici depolama alanlarına rasgele dosyalar yazılmasına olanak tanıyan bir güvenlik riski oluşturduğunu belirtti.

        Bu güvenlik açıkları, komut enjeksiyonu, yansıtılmış çapraz site betiği (XSS)hassas bilgilerin açık metin olarak depolanması, eksik kimlik doğrulama ve SQL enjeksiyonu gibi çeşitli güvenlik zafiyetlerinin bir kombinasyonundan oluşmaktadır:
        • CVE-2024-9463: Kimlik doğrulaması gerektirmeyen komut enjeksiyonu açığı
        • CVE-2024-9464: Kimlik doğrulaması gerektiren komut enjeksiyonu açığı
        • CVE-2024-9465: Kimlik doğrulaması gerektirmeyen SQL enjeksiyonu açığı
        • CVE-2024-9466: Kayıt dosyalarında açık metin kimlik bilgileri
        • CVE-2024-9467: Kimlik doğrulaması gerektirmeyen yansıtılmış XSS açığı

        PoC’de Açık İstismar Edildi

        Güvenlik araştırmacıları, Expedition çözümündeki güvenlik açıklarını inceleyerek, CVE-2024-5910 güvenlik açığı ile ilgili araştırmaları sırasında bu hatalardan üçünü tespit etti. CVE-2024-5910 güvenlik açığı, Expedition uygulamasında yönetici kimlik bilgilerinin sıfırlanmasına olanak tanıyor ve CVE-2024-9464 komut enjeksiyonu açığı ile birleştirerek “kimlik doğrulaması gerektirmeyen” rasgele komut yürütme işlemi gerçekleştirebilecek bir kanıt konsept (PoC) yayımladı.

        Güncellemeler ve Alınması Gereken Önlemler

        Palo Alto Networks, tüm listelenen güvenlik açıklarının Expedition 1.2.96 ve sonraki sürümlerde giderildiğini duyurdu. CVE-2024-9466 nedeniyle etkilenen açık metin dosyası, güncelleme sırasında otomatik olarak kaldırılacaktır. Şirket, güncellemeler sonrası tüm Expedition kullanıcı adlarının, şifrelerinin ve API anahtarlarının değiştirilmesini öneriyor. Ayrıca, Expedition tarafından işlenen tüm güvenlik duvarı kullanıcı adları, şifreleri ve API anahtarlarının güncellemeler sonrasında değiştirilmesi gerektiğini belirtiyor.

        Acil güvenlik güncellemelerini hemen uygulayamayacak olan yöneticiler, Expedition ağ erişimini yalnızca yetkili kullanıcılar, konaklar veya ağlarla sınırlamalıdır.

        Nisan ayında şirket, Mart ayından beri devlet destekli bir tehdit aktörü (UTA0218 olarak izlenen) tarafından PAN-OS güvenlik duvarlarına arka kapı yüklemek amacıyla aktif olarak istismar edilen yüksek dereceli sıfır gün açığı için sıcak düzeltmeler yayınlamaya başlamıştı. Bu olay, Palo Alto Networks güvenlik duvarlarını hedef alan saldırıların ciddiyetini bir kez daha gözler önüne seriyor.
         

        Oracle’ın Ekim 2024 Kritik Yama Güncellemesi 

        Oracle, Ekim 2024 tarihli Kritik Yama Güncellemesi’ni (CPU) yayınlayarak, ürün portföyündeki 334 güvenlik açığını giderdi. Bu, 2024’ün dördüncü ve son güncellemesi olup, Oracle teknolojilerini kullanan işletmeler için siber güvenlik konusunda süreklilik ve dikkat gerekliliğini vurguluyor.
        Bu çeyreklik güncelleme, 28 farklı Oracle ürün ailesini etkiliyor ve farklı ciddiyet seviyelerinde yamalar içeriyor. Özellikle, en yüksek risk seviyesine sahip 16 güvenlik açığını kapsayan 35 kritik güncelleme dikkat çekiyor. Yeni güvenlik yamaları şu Oracle ürün aileleri için sunulmuştur:
         
        • MySQL
        • Fusion Middleware
        • Database
        • Enterprise Manager
        • Tedarik Zinciri Ürünleri
        • Finansal Hizmet Uygulamaları
        • İletişim Uygulamaları
        • Perakende Uygulamaları
        • Kamu Hizmetleri Uygulamaları
        • PeopleSoft
        • Siebel
        Öne Çıkan Güvenlik Açıkları ve Yama Ayrıntıları

        334 güvenlik yamasından 61’ikimlik doğrulama gerektirmeden uzaktan istismar edilebilecek güvenlik açıklarını gideriyor. Güncellemede bildirilen en yüksek CVSS puanı 9.8 olarak kaydedilmiş olup, özellikle aşağıdaki yamalar dikkat çekmektedir:
         
        • Oracle Database Server için 25 yeni güvenlik yaması (2'si kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
        • Oracle Fusion Middleware için 7 yeni güvenlik yaması (4'ü kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
        • Oracle İletişim Uygulamaları için 18 yeni güvenlik yaması (1'i kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
        • Oracle MySQL için 16 yeni güvenlik yaması (9’u kimlik doğrulama gerektirmeden uzaktan istismar edilebilir).
        Oracle'ın amiral gemisi olan Oracle Database6 yeni güvenlik yaması aldı. Bu yamalardan ikisi, kimlik doğrulama gerektirmeden uzaktan istismar edilebilir olup, açıkta kalan sistemler için önemli bir risk oluşturmaktadır.
         
        Oracle’dan Acil Güncelleme Tavsiyesi

        Oracle, müşterilerine bu kritik yamaları en kısa sürede uygulamalarını şiddetle tavsiye etmektedir. Şirket, daha önce yamalanmış güvenlik açıklarına yönelik aktif saldırı girişimleri hakkında raporlar almaya devam ettiğini belirterek, güncellemelerin zamanında yapılmasının önemini vurgulamaktadır.
         
        Güncelleme Süreci İçin İpuçları

        Oracle ürünlerini kullanan kuruluşlar için bu CPU, acil bir dikkat gerektirmektedir:
        1. Etkilenen Oracle Dağıtımlarını Değerlendirin: Yamalanan güvenlik açıklarından etkilenen Oracle kurulumlarınızı belirleyin.
        2. Kritik Yamaların Önceliklendirilmesi: Özellikle uzaktan istismar edilebilecek açıkları gidermek için kritik yamaların öncelikli olarak uygulanmasını sağlayın.
        3. Yama Sürecinde Olası Kesintilere Hazırlıklı Olun: Yama işlemleri sırasında oluşabilecek potansiyel kesinti ve hizmet duraksamaları için plan yapın.
        4. Başarılı Yama Uygulamasını Doğrulayın ve Sistem Davranışını İzleyin: Yama işlemi sonrasında sistemlerin beklenmeyen davranışları olup olmadığını gözlemleyin ve başarılı bir şekilde yamanın uygulandığından emin olun.
        Siber tehditlerin giderek daha karmaşık hale gelmesiyle birlikte, güvenlik güncellemelerini zamanında yapmak, IT yönetiminin vazgeçilmez bir parçası haline gelmiştir. Oracle’ın geniş kapsamlı Ekim 2024 Kritik Yama Güncellemesi, karmaşık kurumsal yapılarda güçlü siber güvenlik duruşunu sürdürmenin gerektirdiği çabayı bir kez daha gözler önüne sermektedir.

        1 Yılda 31 Yeni Fidye Yazılımı Grubu Ekosisteme Katılıyor

        Son raporlara göre, fidye yazılımı gruplarında %30’luk bir artış görülürken, fidye saldırılarının boyutu ve karmaşıklığı giderek artıyor. Haziran 2023 ile Temmuz 2024 dönemini inceleyen rapor, fidye yazılımı ekosisteminde büyüyen ve değişen tehdit unsurlarını ele alıyor.
         
        Yeni Fidye Yazılımı Gruplarındaki Artış

        Geçtiğimiz yıl boyunca 31 yeni fidye yazılımı grubu faaliyete geçti. Önceden büyük grupların hakim olduğu bu alan artık daha çeşitli aktörler barındırıyor. Listedeki en aktif üç fidye yazılımı grubu ise:
         
        • LockBit: %17 pay ile en üst sırada, fakat geçen yıla göre %8 düşüş gösterdi. Bu azalmada Operation Cronos gibi kolluk kuvvetlerinin çalışmaları etkili oldu.
        • PLAY: İkinci sıradaki bu grup, geçen yıla göre iki kat daha fazla kurban sayısına ulaştı.
        • RansomHub: Şubat 2024'teki LockBit operasyonunun hemen ardından ortaya çıkan bu yeni grup, kurbanların %7’sini oluşturarak hızla yükseldi.
        BlackCat/ALPHV, önceki yıllarda en aktif gruplardan biri iken bu yıl en üst üçe giremedi, zira kolluk kuvvetlerinin baskıları grubun operasyonlarını büyük ölçüde etkiledi.
         
        Yapay Zeka ve AiTM Saldırıları: Yeni Tehditler

        Yapay zekanın (AI) artan kullanımı, hem meşru hem de yasa dışı faaliyetlerde yaygınlaştı. Araştırmacılar, ChatGPT gibi AI araçlarının yer altı forumlarında nasıl kötü amaçlarla kullanılabileceğine dair artan paylaşımlara dikkat çekiyor. Özellikle kimlik avı saldırılarında ve temel komut dosyası hazırlığında bu tür araçlardan faydalanılıyor.

        Bu süreçte Adversary-in-the-Middle (AiTM) saldırıları da yükselişte. AiTM saldırıları, kimlik bilgileri ve oturum tanımlama bilgilerini çalarak ağlara erişim sağlıyor ve bu, bazı çok faktörlü kimlik doğrulama (MFA) türlerinin etkisini azaltıyor. Kötü amaçlı kitler (örneğin, Evilginx2 ve EvilProxy) Telegram gibi yer altı pazarlarında kiralanabiliyor.
         
        Devlet Destekli Siber Faaliyetlerin Analizi

        Rapora göre, Çin, Rusya, İran ve Kuzey Kore en dikkat çekici devlet destekli siber tehdit unsurları olmaya devam ediyor:
         
        • Rusya: Ukrayna ile ilgili siber casusluk faaliyetlerine ağırlık veriyor, ancak bu faaliyetler yalnızca Ukrayna ile sınırlı değil. Kritik altyapıyı hedefleyen sabotaj operasyonlarının ise öncelikle Ukrayna’ya odaklanacağı düşünülüyor.
        • Çin: Bilgi çalmak ve casusluk yapmak amacıyla, yerel ve bulut altyapılarında karmaşık gizlenme teknikleri geliştiriyor. Çin’in siber faaliyetleri ekonomik, politik ve askeri avantaj sağlama hedeflerine odaklanmış durumda.
        • İran: İki ana yapı olan İslam Devrim Muhafızları (IRGC) ve İstihbarat ve Güvenlik Bakanlığı (MOIS) ile İsrail, ABD ve Körfez bölgesindeki diğer ülkelere yönelik saldırılar gerçekleştiriyor.
        • Kuzey Kore: Kripto para hırsızlığı ve sahte iş teklifleri ile gelir elde etmeye devam ediyor. IT sektöründeki ve tedarik zincirindeki zayıflıkları hedef alarak ABD, Güney Kore ve Japonya'daki varlıkları etkiliyor.
         
        Bu rapor, bizlere karmaşık ve hızla gelişen siber tehdit ortamının detaylı bir analizini sunuyor ve kuruluşların güvenlik stratejilerini gözden geçirmeleri gerektiğini bir kez daha hatırlatıyor.
         

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Yayınlayan: Yayın Tarihi:
        Labels: , , , , , , ,
        Kaydol: Yorumlar (Atom)

        Popüler Yayınlar