Siber Güvenlik Bülteni - Aralık 2024

Bültenimizin Aralık Ayı konu başlıkları;  Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı Dell SupportAssist Yazılımında Güvenlik Açığı Japan Airlines (JAL), Siber Saldırıya Uğradı Romanya Seçimlerine Siber Saldırı

Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı

Sophos, güvenlik duvarı ürünlerinde uzaktaki saldırganların kimlik doğrulama olmadan rastgele kod çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığı için yamalar yayınladı. CVE-2024-12727 olarak izlenen bu güvenlik açığı, e-posta koruma özelliğini etkileyen bir SQL enjeksiyonu hatası olarak tanımlanıyor. Bu açık, saldırganların güvenlik duvarlarının raporlama veritabanına erişmesini sağlıyor. Bu güvenlik açığı, Secure PDF eXchange (SPX) özelliğinin belirli bir yapılandırmasının etkinleştirilmesi ve güvenlik duvarının Yüksek Erişilebilirlik (HA) modunda çalıştırılması durumunda uzaktan kod yürütme (RCE) için kötüye kullanılabiliyor. Sophos’un güvenlik danışmanlığına göre, bu açık 21.0 MR1 (21.0.1) sürümünden önceki güvenlik duvarı ürünlerini etkiliyor ve cihazların yalnızca %0.05’ini kapsıyor. Geçen hafta şirket, güvenlik duvarı ürünlerinin 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4 ve 19.0 MR2 sürümleri için hızlı yamalar yayınladı. Bu yamalar ayrıca Sophos Güvenlik Duvarı 21.0 MR1 sürümüne de dahil edildi. Güncellenen sürüm, aynı zamanda CVE-2024-12728 kodlu zayıf kimlik bilgileri hatasını da ele alıyor. Bu güvenlik açığını azaltmak için kullanıcıların SSH erişimini yalnızca fiziksel olarak ayrılmış özel HA bağlantısıyla sınırlamaları veya HA yapılandırmasını yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmaları gerekiyor. Ayrıca WAN üzerinden SSH erişimi devre dışı bırakılmalıdır. Ek olarak, CVE-2024-12729 kodlu, kimliği doğrulanmış saldırganların uzaktan rastgele kod çalıştırmasına izin verebilecek Kullanıcı Portalı'nda bir kod enjeksiyonu açığı için de yamalar yayınlandı. Sophos, bu açığın kötüye kullanılmasını önlemek için kullanıcıların WAN üzerinden Kullanıcı Portalı ve Webadmin erişimini devre dışı bırakmalarını öneriyor.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı

Palo Alto Networks, yeni nesil güvenlik duvarlarını çalıştıran PAN-OS yazılımında CVE-2024-3393 kodlu yüksek öneme sahip bir güvenlik açığını açıkladı. Bu açık, kimliği doğrulanmamış saldırganların özel olarak hazırlanmış DNS paketleri göndererek DNS Güvenlik özelliğini istismar etmesine olanak tanır ve Hizmet Reddi (DoS) durumuna yol açar. Güvenlik açığı, etkilenen güvenlik duvarlarının yeniden başlatılmasına ve tekrar tekrar istismar edilmesi durumunda bakım moduna geçmesine neden olabilir. Sorun, PAN-OS DNS Güvenlik özelliğinin istisnai koşulları düzgün şekilde ele almamasından kaynaklanıyor. Saldırganlar, güvenlik duvarının veri düzleminden kötü amaçlı paketler göndererek çökmesine ve yeniden başlatılmasına yol açabilir. Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve ciddi kesinti potansiyeline işaret eder. Saldırı karmaşıklığı düşüktür, kullanıcı etkileşimi veya özel ayrıcalıklar gerektirmez ve ağ üzerinden uzaktan gerçekleştirilebilir.   Etkilenen Sürümler Bu güvenlik açığı, birden fazla PAN-OS sürümünü etkilemektedir: PAN-OS 11.2: 11.2.3'ten önceki sürümler etkilenmiştir. PAN-OS 11.1: 11.1.5'ten önceki sürümler etkilenmiştir. PAN-OS 10.2: 10.2.8'den önceki sürümler etkilenmiştir (ek düzeltmeler bakım güncellemelerinde mevcuttur). PAN-OS 10.1: 10.1.14'ten önceki sürümler etkilenmiştir. Prisma Access müşterileri de savunmasız PAN-OS sürümlerini kullanmaları durumunda risk altındadır. Palo Alto Networks, saldırganların bu güvenlik açığını üretim ortamlarında başarıyla kullanarak Hizmet Reddi (DoS) koşulları oluşturduklarını doğrulamıştır. Bu güvenlik açığı, gizlilik veya bütünlüğü tehlikeye atmasa da, kullanılabilirliği önemli ölçüde etkiler ve ağ güvenliğine bağımlı kuruluşlar için kritik bir endişe kaynağıdır.   Yayınlanan Yamalar Palo Alto Networks, bu güvenlik açığını ele almak için aşağıdaki sürümlerde yamalar yayınlamıştır: PAN-OS 10.1.14-h8 PAN-OS 10.2.10-h12 PAN-OS 11.1.5 PAN-OS 11.2.3 Müşterilere riskleri azaltmak için bu sürümlere veya daha yeni sürümlere güncellemeleri şiddetle önerilmektedir.   Geçici Çözümler (Yama Uygulanamıyorsa) Düzeltmeleri hemen uygulayamayanlar için geçici çözümler şunları içerir: Objects → Security Profiles → Anti-spyware → DNS Policies yolunu izleyin. Tüm DNS Güvenlik kategorileri için “Log Severity” ayarını “none” olarak belirleyin. Değişiklikleri kaydedin ve yamalar uygulandıktan sonra ayarları geri alın.   Kuruluşların Atması Gereken Adımlar Sistemlerin güvenliğini sağlamak için yamaları hemen uygulayın. Yama uygulanamıyorsa önerilen geçici çözümleri hayata geçirin. Güvenlik duvarı davranışını, beklenmeyen yeniden başlatmalar veya bakım modu durumları için izleyin. Güvenlik danışmanlıklarını düzenli olarak gözden geçirin ve yazılım sürümlerini güncel tutun. Bu güvenlik açığı, ağ altyapısını gelişen tehditlere karşı korumak için zamanında yama yönetiminin ve güçlü izleme uygulamalarının kritik önemini bir kez daha vurgulamaktadır.

Dell SupportAssist Yazılımında Güvenlik Açığı

Dell'in yaygın olarak kullanılan SupportAssist yazılımında yeni ortaya çıkan yüksek etkili bir güvenlik açığı, saldırganların etkilenen sistemlerde ayrıcalıkları yükseltmesine olanak tanıyabilir. CVE-2024-52535 olarak tanımlanan bu güvenlik açığı, sistem bütünlüğünü tehlikeye atma ve operasyonları aksatma potansiyeli nedeniyle siber güvenlik uzmanları ve son kullanıcılar arasında ciddi endişelere yol açtı. Güvenlik Açığı Detayları CVE-2024-52535, şu sürümleri etkiliyor: Dell SupportAssist for Home PCs: 4.6.1 ve önceki sürümler Dell SupportAssist for Business PCs: 4.5.0 ve önceki sürümler Bu güvenlik açığı, yazılımın iyileştirme bileşenindeki sembolik bağlantı (symlink) saldırısından kaynaklanıyor. Saldırganlar, bu güvenlik açığını kullanarak düşük ayrıcalıklı kimlik doğrulanmış kullanıcı hesapları üzerinden yetkilerini yükseltebilir ve sistemde yetkisiz işlemler gerçekleştirebilir. Buna, dosya ve klasörlerin keyfi olarak silinmesi gibi kritik yetkilendirilmemiş işlemler de dahildir. Bu tür bir sömürü, saldırganların kritik dosyaları sabote ederek sistemleri kullanılamaz hale getirmesi gibi ciddi riskler yaratabilir. Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve saldırının yerel erişim gerektirdiğini, ancak düşük karmaşıklıkta olduğunu ve saldırganların bunu nispeten kolayca istismar edebileceğini belirtir.   Etkilenen Ürünler ve Çözüm Yolları   Ürün Etkilenen Sürümler Düzeltme Yapılmış Sürümler SupportAssist for Home PCs 4.6.2'den önceki sürümler 4.6.2 veya daha yeni sürümler SupportAssist for Business PCs 4.5.1'den önceki sürümler 4.5.1 veya daha yeni sürümler Dell Technologies, bu güvenlik açığına yönelik riskleri azaltmak için kullanıcıların en kısa sürede düzeltme yapılmış sürümlere güncelleme yapmasını şiddetle önermektedir.   Riskleri Azaltmak İçin Atılması Gereken Adımlar SupportAssist'i Güncelleyin: Home PC kullanıcıları: 4.6.2 veya daha yeni sürümler Business PC kullanıcıları: 4.5.1 veya daha yeni sürümler Güncellemeler yalnızca Dell'in resmi bağlantıları üzerinden indirilmelidir. Güvenlik Önlemlerini Gözden Geçirin: Erişim kontrollerinin doğru yapılandırıldığından emin olun. Şüpheli etkinlikleri izleyin ve özellikle etkilenmiş sürümleri çalıştıran sistemleri kontrol edin. Düzenli Bakım Uygulayın: Yazılım güncellemeleri için düzenli kontroller yapın. Mevcut ve gelecekteki güvenlik açıklarının istismarını önlemek için tüm cihazların en son yamalarla güncel olduğundan emin olun.

Japan Airlines (JAL), Siber Saldırıya Uğradı

Şu ana kadar dokuz uçuş, sistem arızaları nedeniyle ertelendi ve daha fazla aksaklık bekleniyor. JAL sözcüsü, ek gecikmeler veya iptallerin yaşanabileceğini kabul etti, ancak etkinin boyutuna dair net detaylar vermedi. Bu olay, Japonya’nın havacılık sektöründe artan siber güvenlik tehditlerini bir kez daha gözler önüne seriyor. JAL, son dönemde siber saldırıya maruz kalan Japon şirketleri listesine katıldı. 2022 yılında, benzer bir saldırı, Toyota'nın bir tedarikçisinin operasyonlarını aksatmış ve Japonya’daki yerel fabrikalarda üretim bir günlüğüne durdurulmuştu. 2024 Haziran ayında, video paylaşım platformu Niconico, geniş çaplı bir siber saldırı nedeniyle hizmetlerini askıya almak zorunda kalmıştı. Havacılık Sektöründe Artan Tehditler JAL’a yapılan bu saldırı, küresel ölçekte kritik altyapı sektörlerindeki artan güvenlik açıklarını yansıtıyor. Havacılık sektörü, biletleme ve bagaj yönetimi gibi operasyonların dijital sistemlere bağımlılığı nedeniyle bu tür tehditlere karşı daha savunmasız durumda. Şirket, saldırının faili veya doğası hakkında detaylı bilgi paylaşmazken, siber güvenlik uzmanları ve yetkililerle iş birliği içinde çalıştıklarını belirtti. Uzmanlar, bu tür saldırıların hassas verileri tehlikeye atabileceği veya hayati hizmetleri aksatabileceği konusunda uyarıda bulunuyor. Bu siber saldırı, dijitalleşen dünyada kritik sektörlerin karşı karşıya kaldığı güvenlik açıklarının ciddiyetini bir kez daha hatırlatıyor.

Romanya Seçimlerine Siber Saldırı

Romanya Anayasa Mahkemesi, Rusya'nın seçimlere müdahale ettiği iddiaları üzerine tarihi bir karar alarak cumhurbaşkanlığı seçimlerinin ilk tur sonuçlarını iptal etti. Bu karar doğrultusunda, 8 Aralık 2024 tarihinde yapılması planlanan ikinci tur seçim gerçekleşmeyecek. İlk turu kazanan Călin Georgescu, kararı “resmileşmiş bir darbe” ve demokrasiye yapılan bir saldırı olarak nitelendirdi. Anayasa Mahkemesi tarafından yapılan açıklamada şu ifadelere yer verildi: "Romanya Cumhurbaşkanı'nın seçilmesine yönelik seçim süreci tamamen yeniden başlatılacak. Hükümet, cumhurbaşkanlığı seçiminin yeni tarihini ve gerekli eylemlerin uygulanması için yeni bir takvim programı belirleyecektir." Mahkeme, kararın Anayasa'nın 146(f) maddesine dayanarak alındığını ve seçim sürecinin adil ve yasal bir şekilde yürütülmesinin gerekliliğine vurgu yapıldığını belirtti. Kararın nihai ve bağlayıcı olduğu ifade edildi . Rus Müdahalesi İddiaları Bu karar, Romanya hükümetinin açıkladığı gizliliği kaldırılmış belgelerden günler sonra geldi. Belgelerde, TikTok’ta 25.000 hesaplı bir ağın Călin Georgescu’yu desteklemek için koordineli bir şekilde kullanıldığı ve bunun pro-Rusya etkisi taşıdığı iddia ediliyor. Bununla birlikte, Georgescu’nun bu kampanyadan haberdar olup olmadığı ya da destek verip vermediği belgelerden netleşmedi. Rusya ise seçim sürecine herhangi bir müdahalede bulunmadığını belirtti. Ayrıca, Romanya İstihbarat Servisi (SRI), seçimlerin ilk turu öncesinde ve sırasında 85.000'den fazla siber saldırı girişimi tespit edildiğini açıkladı. Bu girişimlerin amacı, seçim web siteleri ve BT sistemlerine erişim sağlamaktı. SRI, saldırıların ölçeği ve operasyon şeklinin, "devlet destekli bir saldırgana özgü geniş kaynakların kullanıldığını" gösterdiğini belirtti.   Uluslararası Tepkiler ABD Dışişleri Bakanlığı Sözcüsü Matthew Miller, şu açıklamada bulundu: "Rumen halkı, seçimlerinin demokratik iradelerini yansıttığından ve adil bir şekilde yabancı kötü niyetli etkilerden arındırıldığından emin olmalıdır." Avrupa Komisyonu ise TikTok’a yönelik gözetimlerini artırdığını ve platformdan "seçim süreçlerine ve toplumsal söyleme yönelik sistemik riskler taşıyabilecek verilerin dondurulması ve korunması" talebinde bulundu. Komisyon ayrıca TikTok’tan: Öneri sistemlerinin tasarımı ve işleyişine ilişkin iç belgeleri, Koordineli sahte davranışlar (CIB) yoluyla manipülasyon risklerine karşı aldıkları önlemleri açıklamalarını istedi.   TikTok’un Müdahalesi ve Araştırmalar TikTok, Kasım 2024’ün sonlarında iki küçük ağ tespit ettiğini duyurdu. Ağlardan biri 78 hesap, diğeri ise 12 hesaptan oluşuyordu ve bu hesaplar Georgescu ve bağımsız aday Mircea Geoană lehine kampanya yürütüyordu. Eylül ayında ise platform, Romanya’dan faaliyet gösteren ve hükümet karşıtı anlatıları yaymak için sahte hesaplar kullanan 22 hesabı kapattığını duyurdu. Bu ağın toplamda 300.000 takipçisi bulunuyordu. TikTok tarafından yapılan açıklamada şu ifadeler yer aldı: "Romanya seçimlerini hedefleyen ağlar, TikTok üzerinde küçük ölçekli, ülke içinde koordine edilmiş operasyonlar şeklinde tespit edilmiştir. Platform dışı faaliyetleri de yakından takip ederek gizli etki operasyonlarını ve yanıltıcı davranışları önlemeye çalışıyoruz." Avrupa Komisyonu, TikTok’u Resmen Soruşturuyor 17 Aralık 2024 tarihinde Avrupa Komisyonu, TikTok’un Dijital Hizmetler Yasası’nı (DSA) ihlal edip etmediğine dair resmi bir soruşturma başlattığını duyurdu. Avrupa Komisyonu Başkanı Ursula von der Leyen, şu açıklamada bulundu: "Romanya cumhurbaşkanlığı seçimlerine yabancı aktörlerin TikTok üzerinden müdahale ettiğine dair ciddi belirtiler sonrasında, TikTok’un Dijital Hizmetler Yasası’nı ihlal edip etmediğini detaylı bir şekilde araştırıyoruz." Bu olay, seçim güvenliğinin dijital dünyada ne kadar kritik olduğunu ve sosyal medya platformlarının siyasi manipülasyonlar için nasıl araçsallaştırılabileceğini bir kez daha gözler önüne seriyor. Romanya’nın seçim sürecinin yeniden başlatılması, ülke demokrasisi ve dijital güvenlik açısından önemli bir dönüm noktası olarak tarihe geçti.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Geçmiş Bültenlerimizi Blog Adresimizden Takip Edebilirsiniz