sophos zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
sophos zafiyeti etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

05 Ağustos 2025

Siber Güvenlik Bülteni - Temmuz 2025

 

Bültenimizin Temmuz Ayı konu başlıkları; 
    • Türk Savunma Sanayii Hedefte
    • Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı
    • Kritik Sudo Güvenlik Açıkları
    • FortiWeb Kritik SQL Enjeksiyonu Zafiyeti
    • Sophos and SonicWall Kritik RCE Zafiyeti

    Türk Savunma Sanayii Hedefte

    Patchwork olarak bilinen tehdit aktörü, stratejik istihbarat toplama amacıyla Türk savunma sanayii yüklenicilerini hedef alan yeni bir oltalama (spear-phishing) saldırısıyla ilişkilendirildi.
     

    Saldırı, insansız araç sistemleri hakkında daha fazla bilgi edinmek isteyen hedeflere gönderilen, konferans davetiyesi kılığındaki kötü niyetli LNK dosyaları aracılığıyla teslim edilen beş aşamalı bir yürütme zinciri kullanıyor.
     

    Adı açıklanmayan bir hassas güdümlü füze sistemleri üreticisini de hedef alan bu faaliyet, Pakistan ve Türkiye arasındaki derinleşen savunma işbirliği ve son Hindistan-Pakistan askeri çatışmalarıyla aynı zamana denk gelmesi nedeniyle jeopolitik olarak motive edilmiş gibi görünüyor.
     

    APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger ve Zinc Emerson olarak da adlandırılan Patchwork'ün, Hint kökenli devlet destekli bir aktör olduğu değerlendiriliyor. En az 2009'dan beri aktif olduğu bilinen bu hacker grubu, Çin, Pakistan ve Güney Asya'daki diğer ülkelerdeki kuruluşları hedef alma geçmişine sahip.


    Tam bir yıl önce, Knownsec 404 Team, Patchwork’ün Bhutan ile bağlantılı kuruluşları hedef aldığını, burada Brute Ratel C4 framework’ü ile birlikte PGoShell adlı bir arka kapının güncellenmiş versiyonunu dağıttığını belgelemişti.


    2025 yılının başından bu yana, tehdit aktörü Çin üniversitelerine yönelik çeşitli kampanyalarla ilişkilendirildi. Bu saldırılarda ülkenin enerji şebekelerine dair oltalama içerikleri kullanılarak, Rust tabanlı bir yükleyici üzerinden C# ile yazılmış Protego adlı bir truva atı çalıştırılıyor ve bu sayede ele geçirilen Windows sistemlerinden çok çeşitli bilgiler toplanıyor.


    Çinli siber güvenlik firması QiAnXin tarafından Mayıs ayında yayımlanan bir diğer raporda ise, Patchwork ile DoNot Team (diğer adıyla APT-Q-38 veya Bellyworm) arasında altyapı örtüşmeleri tespit edildiği ve iki tehdit kümesi arasında operasyonel bağlantılar olabileceği öne sürüldü.


    Patchwork’ün Türkiye’yi hedef alması, grubun hedefleme alanını genişlettiğine işaret ediyor. Bu kampanyada kötü amaçlı Windows kısayol dosyaları (LNK) içeren oltalama e-postaları, çok aşamalı bir enfeksiyon sürecini başlatmak için kullanılıyor.


    Özellikle, LNK dosyası, harici bir sunucudan ("expouav[.]org") ek yükleri getirmekle sorumlu PowerShell komutlarını çağırmak üzere tasarlanmıştır; bu alan adı 25 Haziran 2025'te oluşturulmuş olup, insansız araç sistemleri üzerine uluslararası bir konferansı taklit eden bir PDF tuzağı barındırmaktadır ve bu konferansın detayları yasal olarak waset[.]org web sitesinde yer almaktadır.


    Uzmanlar “PDF belgesi, yürütme zincirinin geri kalanı arka planda sessizce çalışırken kullanıcıyı oyalamak için tasarlanmış görsel bir yem görevi görüyor. Bu hedefleme, Türkiye'nin küresel İHA ihracat pazarının %65'ini kontrol etmesi ve kritik hipersonik füze yetenekleri geliştirmesi, aynı zamanda Hindistan-Pakistan gerilimlerinin arttığı bir dönemde Pakistan ile savunma bağlarını güçlendirmesiyle aynı zamana denk geliyor.” diye belirtiyor.


    İndirilen bileşenler arasında, planlanmış bir görev (scheduled task) yoluyla DLL side-loading tekniğiyle çalıştırılan kötü amaçlı bir DLL dosyası da yer alıyor. Bu, nihayetinde ele geçirilmiş sistemde kapsamlı bir keşif (reconnaissance) yapan, ekran görüntüsü alan ve bilgileri uzaktaki sunucuya sızdıran bir shellcode'un çalıştırılmasına yol açıyor.


    Bu, bu tehdit aktörünün yeteneklerinde önemli bir evrimi temsil ediyor; Kasım 2024'te gözlemlenen x64 DLL varyantlarındangelişmiş komut yapılarına sahip mevcut x86 PE yürütülebilir dosyalarına geçiş yapıyor. Dropping Elephant, x64 DLL'den x86 PE formatlarına mimari çeşitlendirme ve yasal web sitelerinin taklit edilmesi yoluyla gelişmiş C2 protokolü uygulaması aracılığıyla sürekli operasyonel yatırım ve geliştirme sergiliyor.

    Fidye Yazılımı Saldırılarında, Sharepoint Zafiyeti Aktif Olarak Kullanıldı

    Çin merkezli bir tehdit aktörünün, ele geçirilmiş sistemlere fidye yazılımı dağıtmak için Microsoft SharePoint'teki güvenlik açıklarını kullandığı gözlemlendi.

    Microsoft, 23 Temmuz’da yaptığı bir olay güncellemesinde, Storm-2603 olarak izlenen bir grubun, ele geçirilmiş SharePoint on-prem sunucuları üzerinden Warlock fidye yazılımı dağıttığını açıkladı.

    Bu nedenle teknoloji devi, potansiyel olarak etkilenmiş kuruluşlara, fidye yazılımına karşı korumayı da içerecek şekilde risk azaltma (mitigation) çabalarını genişletmeleri yönünde tavsiyede bulundu.

    Storm-2603CVE-2025-53770 ve CVE-2025-53771 kodlu SharePoint on-prem açıklarını istismar ettiği gözlemlenen üç gruptan biri.

    Storm-2603’ün Çin merkezli bir tehdit aktörü olduğu değerlendiriliyor ve daha önce Warlock ve LockBit fidye yazılımlarını dağıttığı biliniyor.

    Microsoft, bu tehdit aktörünün nihai hedeflerini şu aşamada kesin olarak değerlendiremediğini belirtti.

    Bu SharePoint açıklarını istismar eden diğer iki aktör ise, Linen Typhoon ve Violet Typhoon. Bu iki grup da devlet destekli Çinli aktörler olarak biliniyor ve esas olarak hükümet, savunma, teknoloji ve insan hakları kuruluşları gibi hassas veri toplayan sektörlere odaklanıyorlar.

    Bu iki açığın zincirleme şekilde istismar edilmesi, siber güvenlik topluluğu tarafından “ToolShell” olarak adlandırıldı. Saldırı zinciri sofistike görünüyor, tehdit aktörlerinin kimlik kontrollerini atlayarak, ele geçirilen sistemlerde ayrıcalıklı erişim elde ettikleri ifade ediliyor.
     

    Saldırganlar Etkiyi En Üst Seviyeye Çıkarıyor


    Acumen Cyber CTO’su Kevin Robertson, fidye yazılımı dağıtımının, saldırganların bir ağın içine girdikten sonra bunu çok yönlü olarak avantaja çevirmeye çalıştıklarını gösterdiğini söyledi.

    “Fidye yazılımına yönelen saldırganlar, CVE-2025-53770 açığını kullanarak ortamda daha fazla erişim elde ediyor, hassas bilgileri şifreliyor ve ardından büyük bir ödeme umuduyla fidye yazılımı çalıştırıyor,” dedi.

    Mali kazançla genellikle motive olmayan Çin devlet destekli aktörler bile bu fırsatı fidye yazılımı dağıtmak için kullanıyor olabilir.

    Robertson, “Ağlarda keşif yapıp ihtiyaç duydukları bilgilere ulaştıklarında, mağdurlara daha fazla kaos yaratmak için fidye yazılımı bırakıyor olabilirler,” diye ekledi.
     

    SharePoint Mağdur Sayısı 400’ü Aştı


    Microsoft, on-prem SharePoint kullanıcılarına, iki açık tamamen yamalanmış olsa bile sistemin ihlal edilmiş olduğunu varsaymalarını tavsiye etti.

    Kuruluşlara, kriptografik materyalleri döndürmek, profesyonel olay müdahale ekiplerini devreye almak ve gerekirse SharePoint’i internet bağlantısından ayırmak gibi acil önlemler almaları önerildi.

    Eye Security, 23 Temmuz’da yayımladığı raporda, şu ana kadar 400’den fazla SharePoint sisteminin aktif olarak ele geçirildiğini bildirdi.

    Bu istismarlar, 17, 18, 19 ve 21 Temmuz tarihlerinde dört onaylı saldırı dalgası halinde gerçekleşti.

    Eye Security, 21 Temmuz sonrasında ve sonrasında birden fazla saldırı dalgasının yaşandığını, bunun da GitHub’da CVE-2025-53770/CVE-2025-53771 güvenlik açıklarına ait bir proof-of-concept (PoC) istismar betiğinin yayımlanmasının ardından gerçekleştiğini ekledi.

    Raporlara göre, SharePoint saldırı kampanyası kapsamında çok sayıda yüksek profilli ABD devlet kurumu da mağdurlar arasında yer aldı.

    Bloomberg, 23 Temmuz’da yayımladığı haberinde, Ulusal Nükleer Güvenlik İdaresi (National Nuclear Security Administration) ve Eğitim Bakanlığı’nın (Department of Education) kullandığı on-prem SharePoint sunucularının ihlal edildiğini bildirdi. Washington Post ise, Sağlık ve İnsan Hizmetleri Bakanlığı’nın (DHHS) hedef alındığını aktardı.

    NextGov, konuyla ilgili bilgi sahibi kişilerden edindiği bilgilere dayanarak, İç Güvenlik Bakanlığı’nın (Department of Homeland Security - DHS) da Çinli hackerların mağdurları arasında olduğunu belirtti.

    Kritik Sudo Güvenlik Açıkları

    Siber güvenlik araştırmacıları, Linux ve Unix benzeri işletim sistemlerinde kullanılan Sudo komut satırı aracında yerel saldırganların savunmasız makinelerde ayrıcalıklarını root seviyesine yükseltmelerine olanak tanıyabilecek iki güvenlik açığını açıkladı.

    Açıkların kısa tanımları aşağıda yer almaktadır:

    • CVE-2025-32462 (CVSS skoru: 2.8) – Sudo 1.9.17p1 öncesi sürümlerde, sudoers dosyasında belirtilen host mevcut makine ya da "ALL" değilse, belirtilen kullanıcıların, istenmeyen makinelerde komut çalıştırmalarına olanak tanır.
    • CVE-2025-32463 (CVSS skoru: 9.3) – Sudo 1.9.17p1 öncesi sürümlerdekullanıcının denetiminde olan bir dizinden alınan "/etc/nsswitch.conf" dosyası --chroot seçeneğiyle kullanıldığında, yerel kullanıcıların root erişimi elde etmelerine olanak tanır.
    Sudo, düşük ayrıcalıklara sahip kullanıcıların başka bir kullanıcı (örneğin süper kullanıcı) olarak komut çalıştırmasına izin veren bir komut satırı aracıdır. Amaç, en az ayrıcalık ilkesini uygulayarak, kullanıcılara yüksek izinler olmadan yönetimsel eylemleri gerçekleştirme yetkisi vermektir.

    Bu komut, "hangi kullanıcının, hangi makinelerde, hangi komutları hangi kullanıcı olarak çalıştırabileceğini ve belirli komutlar için parola gerekip gerekmediğini" belirleyen "/etc/sudoers" adlı bir dosya aracılığıyla yapılandırılır.

    Açıkları keşfeden ve raporlayan kişi olan Stratascale araştırmacısı Rich MirchCVE-2025-32462’nin 12 yılı aşkın süredir gözden kaçtığını söyledi. Bu açık, kullanıcının farklı bir host için sudo ayrıcalıklarını listelemesini sağlayan Sudo’nun "-h" (host) seçeneğindn kaynaklanmaktadır. Bu özellik, Eylül 2013’te etkinleştirildi.

    Ancak tespit edilen hata, Sudo komutu ilgili olmayan bir uzak host’u referans alarak çalıştırıldığında, uzak makinelerde izin verilen herhangi bir komutun yerel makinede de çalıştırılabilmesine olanak tanıdı.

    “Bu durum, yaygın bir sudoers dosyasının birden fazla makineye dağıtıldığı siteleri özellikle etkiler,” dedi Sudo projesi yöneticisi Todd C. Miller bir güvenlik danışma yazısında. “SSSD dahil LDAP tabanlı sudoers kullanan siteler de benzer şekilde etkilenmektedir.”

    Öte yandan, CVE-2025-32463, Sudo’nun "-R" (chroot) seçeneğini kullanarak, sudoers dosyasında listelenmemiş olsa bile, keyfi komutların root olarak çalıştırılmasına olanak tanıyor. Bu açık, kritik derecede ciddi olarak sınıflandırıldı.

    “Varsayılan Sudo yapılandırması savunmasızdır,” dedi Mirch. “Açık, Sudo’nun chroot özelliğini içerse de, kullanıcı için herhangi bir sudo kuralı tanımlanması gerekmez. Bu nedenle, savunmasız bir sürüm yüklüyse, yerel, düşük ayrıcalıklı herhangi bir kullanıcı potansiyel olarak root ayrıcalıklarını elde edebilir.”

    Başka bir deyişle, bu açık sayesinde saldırgan, sudo’yu belirli bir kullanıcı kök dizini altına yerleştirilmiş "/etc/nsswitch.conf" yapılandırma dosyasını yüklemeye kandırarak, kötü amaçlı bir paylaşımlı kütüphaneyi çalıştırabilir ve bu sayede yükseltilmiş ayrıcalıklarla kötü amaçlı komutlar çalıştırabilir.

    Millerchroot seçeneğinin gelecekteki bir Sudo sürümünden tamamen kaldırılacağını ve kullanıcı tarafından belirtilen kök dizin desteğinin hataya açık olduğunu ifade etti.

    1 Nisan 2025’te sorumlu bir şekilde açıklanan bu açıklar, geçtiğimiz ay yayımlanan Sudo 1.9.17p1 sürümünde giderildi. Sudo birçok Linux dağıtımıyla birlikte geldiğinden, çeşitli Linux dağıtımları da güvenlik danışma yazıları yayımladı:
    • CVE-2025-32462 – AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE ve Ubuntu
    • CVE-2025-32463 – Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE ve Ubuntu

    Kullanıcılara, gerekli yamaları uygulamaları ve Linux masaüstü dağıtımlarının en son paketlerle güncellendiğinden emin olmaları tavsiye edilmektedir.

    FortiWeb Kritik SQL Enjeksiyonu Zafiyeti

    Fortinet, etkilenen FortiWeb sürümlerinde kimliği doğrulanmamış bir saldırganın rastgele veritabanı komutları çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığına yönelik düzeltmeler yayınladı.

    CVE-2025-25257 olarak izlenen bu güvenlik açığı, 10 üzerinden 9.6 CVSS puanına sahiptir.

    Fortinet, bu hafta yayınladığı güvenlik danışmanlığında şu ifadelere yer verdi:

    “FortiWeb’de özel olarak hazırlanmış HTTP veya HTTPS istekleri aracılığıyla yetkisiz SQL kodları veya komutları çalıştırmak için kimliği doğrulanmamış bir saldırganın kullanabileceği bir 'SQL Injection' (CWE-89) zafiyeti tespit edilmiştir.”

    Bu zafiyetin etkilediği sürümler şunlardır:

    • FortiWeb 7.6.0 ila 7.6.3 (7.6.4 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.4.0 ila 7.4.7 (7.4.8 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.2.0 ila 7.2.10 (7.2.11 veya daha üstüne yükseltilmeli)
    • FortiWeb 7.0.0 ila 7.0.10 (7.0.11 veya daha üstüne yükseltilmeli)

    Güvenlik Açığının Detayları


    Bugün yayınlanan bir analizde, watchTowr Labs, sorunun Fortinet ürünleri arasında köprü görevi gören Fabric Connector bileşeniyle ilişkili "get_fabric_user_by_token" adlı bir fonksiyonda yer aldığını belirtti.

    Bu fonksiyon, "fabric_access_check" adlı başka bir fonksiyondan çağrılıyor ve bu da şu üç API uç noktasından tetikleniyor:
    • /api/fabric/device/status
    • /api/v[0-9]/fabric/widget/[a-z]+
    • /api/v[0-9]/fabric/widget

    Sorun, saldırganın özel olarak hazırladığı HTTP isteklerindeki Bearer token Authorization header aracılığıyla gönderdiği girdilerin, yeterli güvenlik kontrolü olmadan doğrudan SQL sorgusuna aktarılmasıyla ortaya çıkıyor. Girdi zararlı olup olmadığını denetlemeye yönelik herhangi bir filtreleme/sterilize yapılmıyor.

    Bu saldırı, daha ileri seviyeye taşınarak uzaktan kod çalıştırma (RCE) seviyesine ulaştırılabiliyor. Saldırgan, veritabanı komutuna SELECT ... INTO OUTFILE ifadesi ekleyerek, sistemde bir dosyaya kötü amaçlı bir payload yazabiliyor. Sorguların "mysql" kullanıcısı yetkisiyle çalıştırılıyor olması bu saldırıyı mümkün kılıyor. Ardından bu dosya, örneğin Python aracılığıyla çalıştırılabilir hale geliyor.
     

    Tavsiyeler ve Çözümler


    Gerekli yamalar uygulanana kadar geçici çözüm olarak, kullanıcıların HTTP/HTTPS yönetim arayüzünü devre dışı bırakmaları tavsiye edilmektedir.

    Fortinet cihazlarındaki açıkların geçmişte tehdit aktörleri tarafından kullanıldığı göz önünde bulundurulduğunda, kullanıcıların potansiyel riskleri azaltmak için en kısa sürede güncellemeleri yapmaları oldukça önemlidir.



    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Sophos and SonicWall Kritik RCE Zafiyeti

    Sophos ve SonicWall, Sophos Firewall ve Secure Mobile Access (SMA) 100 Serisi cihazlarda uzaktan kod çalıştırmaya olanak tanıyabilecek kritik güvenlik açıkları hakkında kullanıcıları uyardı.

    Sophos Firewall'u etkileyen iki güvenlik açığı aşağıda listelenmiştir:

    • CVE-2025-6704 (CVSS puanı: 9.8) – Secure PDF eXchange (SPX) özelliğindeki rastgele dosya yazma güvenlik açığı, SPX’in belirli bir yapılandırmasının etkinleştirilmiş olması ve güvenlik duvarının Yüksek Erişilebilirlik (High Availability – HA) modunda çalışması durumunda, kimlik doğrulama öncesi uzaktan kod yürütmeye yol açabilir.
    • CVE-2025-7624 (CVSS puanı: 9.8) – Eski (şeffaf) SMTP proxy’deki bir SQL enjeksiyonu güvenlik açığı, e-posta için karantina politikası etkinse ve SFOS, 21.0 GA sürümünden daha eski bir sürümden yükseltilmişse uzaktan kod çalıştırmaya yol açabilir.
    Sophos, CVE-2025-6704'ün cihazların yaklaşık %0,05’ini, CVE-2025-7624'ün ise cihazların %0,73’ünü etkilediğini belirtti. Her iki güvenlik açığı da, WebAdmin bileşenindeki yüksek önem dereceli komut enjeksiyonu güvenlik açığıyla (CVE-2025-7382, CVSS puanı: 8.8) birlikte giderildi. Bu açık, HA modunda yardımcı cihazlarda admin kullanıcısı için OTP (tek kullanımlık parola) kimlik doğrulaması etkinleştirildiğinde kimlik doğrulama öncesi kod yürütmeye neden olabilir.

    Şirket ayrıca şu iki güvenlik açığını da yamaladı:
    • CVE-2024-13974 (CVSS puanı: 8.1) – Up2Date bileşenindeki bir iş mantığı güvenlik açığı, saldırganların güvenlik duvarının DNS ortamını kontrol ederek uzaktan kod yürütmesine olanak tanıyabilir.
    • CVE-2024-13973 (CVSS puanı: 6.8) – WebAdmin'deki kimlik doğrulama sonrası bir SQL enjeksiyonu güvenlik açığı, yöneticilerin keyfi kod çalıştırmasına neden olabilir.
    İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), hem CVE-2024-13974 hem de CVE-2024-13973 açıklarını keşfetmiş ve bildirmiştir.

    Aşağıdaki sürümler etkilenmektedir:
    • CVE-2024-13974 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
    • CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) ve daha eski sürümleri etkiler
    • CVE-2025-6704 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    • CVE-2025-7624 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    • CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) ve daha eski sürümleri etkiler
    Bu açıklamalar, SonicWall’un SMA 100 Serisi web yönetim arayüzünde (CVE-2025-40599, CVSS puanı: 9.1) kritik bir hatayı detaylandırmasının hemen ardından geldi. Bu hata, uzaktan bir saldırganın yönetici yetkilerine sahip olması durumunda rastgele dosyalar yükleyerek potansiyel olarak uzaktan kod yürütmesine olanak tanır.

    Bu açık, SMA 100 Serisi ürünlerini (SMA 210, 410, 500v) etkiler ve 10.2.2.1-90sv sürümünde giderilmiştir.

    SonicWall ayrıca bu güvenlik açığının henüz kötüye kullanılmadığını, ancak Google Threat Intelligence Group (GTIG) tarafından hazırlanan yakın tarihli bir raporda, UNC6148 adlı bir tehdit aktörünün tamamen yamalanmış SMA 100 serisi cihazları OVERSTEP adlı bir arka kapıyı yerleştirmek için kullandığına dair kanıtlar bulunduğu için potansiyel bir risk olduğunu vurguladı.

    Şirket, SMA 100 Serisi cihazları kullanan müşterilerin aşağıdaki adımları uygulamasını da önermektedir:
    • Dışarıya bakan X1 arayüzünde uzaktan yönetim erişimini devre dışı bırakın (saldırı yüzeyini azaltmak için)
    • Tüm parolaları sıfırlayın ve kullanıcılar ile yöneticiler için OTP (tek kullanımlık parola) bağlantısını yeniden başlatın
    • Tüm kullanıcılar için çok faktörlü kimlik doğrulaması (MFA) uygulayın
    • SMA 100 üzerinde Web Uygulama Güvenlik Duvarı’nı (WAF) etkinleştirin
    SMA 500v sanal ürünü kullanan kuruluşların ise şunları yapmaları gerekmektedir:
    • OVA dosyasının yedeğini alın.
    • Yapılandırmayı dışa aktarın.
    • Mevcut sanal makineyi ve ilişkili tüm sanal diskleri ve anlık görüntüleri kaldırın.
    • SonicWall’dan yeni OVA dosyasını indirip bir hypervisor kullanarak tekrar kurulum yapın.
    • Daha önce dışa aktarılan yapılandırmayı geri yükleyin.


    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    31 Aralık 2024

    Siber Güvenlik Bülteni - Aralık 2024


    Bültenimizin Aralık Ayı konu başlıkları; 
      • Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı
      • Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı
      • Dell SupportAssist Yazılımında Güvenlik Açığı
      • Japan Airlines (JAL), Siber Saldırıya Uğradı
      • Romanya Seçimlerine Siber Saldırı

      Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı

      Sophos, güvenlik duvarı ürünlerinde uzaktaki saldırganların kimlik doğrulama olmadan rastgele kod çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığı için yamalar yayınladı.

      CVE-2024-12727 olarak izlenen bu güvenlik açığı, e-posta koruma özelliğini etkileyen bir SQL enjeksiyonu hatası olarak tanımlanıyor. Bu açık, saldırganların güvenlik duvarlarının raporlama veritabanına erişmesini sağlıyor.

      Bu güvenlik açığı, Secure PDF eXchange (SPX) özelliğinin belirli bir yapılandırmasının etkinleştirilmesi ve güvenlik duvarının Yüksek Erişilebilirlik (HA) modunda çalıştırılması durumunda uzaktan kod yürütme (RCE) için kötüye kullanılabiliyor.

      Sophos’un güvenlik danışmanlığına göre, bu açık 21.0 MR1 (21.0.1) sürümünden önceki güvenlik duvarı ürünlerini etkiliyor ve cihazların yalnızca %0.05’ini kapsıyor.

      Geçen hafta şirket, güvenlik duvarı ürünlerinin 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4 ve 19.0 MR2 sürümleri için hızlı yamalar yayınladı. Bu yamalar ayrıca Sophos Güvenlik Duvarı 21.0 MR1 sürümüne de dahil edildi.

      Güncellenen sürüm, aynı zamanda CVE-2024-12728 kodlu zayıf kimlik bilgileri hatasını da ele alıyor.

      Bu güvenlik açığını azaltmak için kullanıcıların SSH erişimini yalnızca fiziksel olarak ayrılmış özel HA bağlantısıyla sınırlamaları veya HA yapılandırmasını yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmaları gerekiyor. Ayrıca WAN üzerinden SSH erişimi devre dışı bırakılmalıdır.

      Ek olarak, CVE-2024-12729 kodlu, kimliği doğrulanmış saldırganların uzaktan rastgele kod çalıştırmasına izin verebilecek Kullanıcı Portalı'nda bir kod enjeksiyonu açığı için de yamalar yayınlandı.

      Sophos, bu açığın kötüye kullanılmasını önlemek için kullanıcıların WAN üzerinden Kullanıcı Portalı ve Webadmin erişimini devre dışı bırakmalarını öneriyor.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı

      Palo Alto Networks, yeni nesil güvenlik duvarlarını çalıştıran PAN-OS yazılımında CVE-2024-3393 kodlu yüksek öneme sahip bir güvenlik açığını açıkladı.

      Bu açık, kimliği doğrulanmamış saldırganların özel olarak hazırlanmış DNS paketleri göndererek DNS Güvenlik özelliğini istismar etmesine olanak tanır ve Hizmet Reddi (DoS) durumuna yol açar. Güvenlik açığı, etkilenen güvenlik duvarlarının yeniden başlatılmasına ve tekrar tekrar istismar edilmesi durumunda bakım moduna geçmesine neden olabilir.

      Sorun, PAN-OS DNS Güvenlik özelliğinin istisnai koşulları düzgün şekilde ele almamasından kaynaklanıyor. Saldırganlar, güvenlik duvarının veri düzleminden kötü amaçlı paketler göndererek çökmesine ve yeniden başlatılmasına yol açabilir.

      Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve ciddi kesinti potansiyeline işaret eder. Saldırı karmaşıklığı düşüktür, kullanıcı etkileşimi veya özel ayrıcalıklar gerektirmez ve ağ üzerinden uzaktan gerçekleştirilebilir.
       
      Etkilenen Sürümler

      Bu güvenlik açığı, birden fazla PAN-OS sürümünü etkilemektedir:
      • PAN-OS 11.2: 11.2.3'ten önceki sürümler etkilenmiştir.
      • PAN-OS 11.1: 11.1.5'ten önceki sürümler etkilenmiştir.
      • PAN-OS 10.2: 10.2.8'den önceki sürümler etkilenmiştir (ek düzeltmeler bakım güncellemelerinde mevcuttur).
      • PAN-OS 10.1: 10.1.14'ten önceki sürümler etkilenmiştir.
      Prisma Access müşterileri de savunmasız PAN-OS sürümlerini kullanmaları durumunda risk altındadır.
      Palo Alto Networks, saldırganların bu güvenlik açığını üretim ortamlarında başarıyla kullanarak Hizmet Reddi (DoS) koşulları oluşturduklarını doğrulamıştır.

      Bu güvenlik açığı, gizlilik veya bütünlüğü tehlikeye atmasa da, kullanılabilirliği önemli ölçüde etkiler ve ağ güvenliğine bağımlı kuruluşlar için kritik bir endişe kaynağıdır.
       
      Yayınlanan Yamalar

      Palo Alto Networks, bu güvenlik açığını ele almak için aşağıdaki sürümlerde yamalar yayınlamıştır:
      • PAN-OS 10.1.14-h8
      • PAN-OS 10.2.10-h12
      • PAN-OS 11.1.5
      • PAN-OS 11.2.3
      Müşterilere riskleri azaltmak için bu sürümlere veya daha yeni sürümlere güncellemeleri şiddetle önerilmektedir.
       
      Geçici Çözümler (Yama Uygulanamıyorsa)

      Düzeltmeleri hemen uygulayamayanlar için geçici çözümler şunları içerir:
      1. Objects → Security Profiles → Anti-spyware → DNS Policies yolunu izleyin.
      2. Tüm DNS Güvenlik kategorileri için “Log Severity” ayarını “none” olarak belirleyin.
      3. Değişiklikleri kaydedin ve yamalar uygulandıktan sonra ayarları geri alın.
       
      Kuruluşların Atması Gereken Adımlar
      • Sistemlerin güvenliğini sağlamak için yamaları hemen uygulayın.
      • Yama uygulanamıyorsa önerilen geçici çözümleri hayata geçirin.
      • Güvenlik duvarı davranışını, beklenmeyen yeniden başlatmalar veya bakım modu durumları için izleyin.
      • Güvenlik danışmanlıklarını düzenli olarak gözden geçirin ve yazılım sürümlerini güncel tutun.
      Bu güvenlik açığı, ağ altyapısını gelişen tehditlere karşı korumak için zamanında yama yönetiminin ve güçlü izleme uygulamalarının kritik önemini bir kez daha vurgulamaktadır.

      Dell SupportAssist Yazılımında Güvenlik Açığı

      Dell'in yaygın olarak kullanılan SupportAssist yazılımında yeni ortaya çıkan yüksek etkili bir güvenlik açığı, saldırganların etkilenen sistemlerde ayrıcalıkları yükseltmesine olanak tanıyabilir.

      CVE-2024-52535 olarak tanımlanan bu güvenlik açığı, sistem bütünlüğünü tehlikeye atma ve operasyonları aksatma potansiyeli nedeniyle siber güvenlik uzmanları ve son kullanıcılar arasında ciddi endişelere yol açtı.

      Güvenlik Açığı Detayları

      CVE-2024-52535, şu sürümleri etkiliyor:
      • Dell SupportAssist for Home PCs: 4.6.1 ve önceki sürümler
      • Dell SupportAssist for Business PCs: 4.5.0 ve önceki sürümler
      Bu güvenlik açığı, yazılımın iyileştirme bileşenindeki sembolik bağlantı (symlink) saldırısından kaynaklanıyor.

      Saldırganlar, bu güvenlik açığını kullanarak düşük ayrıcalıklı kimlik doğrulanmış kullanıcı hesapları üzerinden yetkilerini yükseltebilir ve sistemde yetkisiz işlemler gerçekleştirebilir. Buna, dosya ve klasörlerin keyfi olarak silinmesi gibi kritik yetkilendirilmemiş işlemler de dahildir.

      Bu tür bir sömürü, saldırganların kritik dosyaları sabote ederek sistemleri kullanılamaz hale getirmesi gibi ciddi riskler yaratabilir.

      Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve saldırının yerel erişim gerektirdiğini, ancak düşük karmaşıklıkta olduğunu ve saldırganların bunu nispeten kolayca istismar edebileceğini belirtir.
       
      Etkilenen Ürünler ve Çözüm Yolları
       
      ÜrünEtkilenen SürümlerDüzeltme Yapılmış Sürümler
      SupportAssist for Home PCs4.6.2'den önceki sürümler4.6.2 veya daha yeni sürümler
      SupportAssist for Business PCs4.5.1'den önceki sürümler4.5.1 veya daha yeni sürümler

      Dell Technologies, bu güvenlik açığına yönelik riskleri azaltmak için kullanıcıların en kısa sürede düzeltme yapılmış sürümlere güncelleme yapmasını şiddetle önermektedir.
       
      Riskleri Azaltmak İçin Atılması Gereken Adımlar
      1. SupportAssist'i Güncelleyin:
        • Home PC kullanıcıları: 4.6.2 veya daha yeni sürümler
        • Business PC kullanıcıları: 4.5.1 veya daha yeni sürümler
        • Güncellemeler yalnızca Dell'in resmi bağlantıları üzerinden indirilmelidir.
      2. Güvenlik Önlemlerini Gözden Geçirin:
        • Erişim kontrollerinin doğru yapılandırıldığından emin olun.
        • Şüpheli etkinlikleri izleyin ve özellikle etkilenmiş sürümleri çalıştıran sistemleri kontrol edin.
      3. Düzenli Bakım Uygulayın:
        • Yazılım güncellemeleri için düzenli kontroller yapın.
        • Mevcut ve gelecekteki güvenlik açıklarının istismarını önlemek için tüm cihazların en son yamalarla güncel olduğundan emin olun.

      Japan Airlines (JAL), Siber Saldırıya Uğradı

      Şu ana kadar dokuz uçuş, sistem arızaları nedeniyle ertelendi ve daha fazla aksaklık bekleniyor. JAL sözcüsü, ek gecikmeler veya iptallerin yaşanabileceğini kabul etti, ancak etkinin boyutuna dair net detaylar vermedi.

      Bu olay, Japonya’nın havacılık sektöründe artan siber güvenlik tehditlerini bir kez daha gözler önüne seriyor. JAL, son dönemde siber saldırıya maruz kalan Japon şirketleri listesine katıldı.
      • 2022 yılında, benzer bir saldırı, Toyota'nın bir tedarikçisinin operasyonlarını aksatmış ve Japonya’daki yerel fabrikalarda üretim bir günlüğüne durdurulmuştu.
      • 2024 Haziran ayında, video paylaşım platformu Niconico, geniş çaplı bir siber saldırı nedeniyle hizmetlerini askıya almak zorunda kalmıştı.
      Havacılık Sektöründe Artan Tehditler

      JAL’a yapılan bu saldırı, küresel ölçekte kritik altyapı sektörlerindeki artan güvenlik açıklarını yansıtıyor. Havacılık sektörü, biletleme ve bagaj yönetimi gibi operasyonların dijital sistemlere bağımlılığı nedeniyle bu tür tehditlere karşı daha savunmasız durumda.

      Şirket, saldırının faili veya doğası hakkında detaylı bilgi paylaşmazken, siber güvenlik uzmanları ve yetkililerle iş birliği içinde çalıştıklarını belirtti. Uzmanlar, bu tür saldırıların hassas verileri tehlikeye atabileceği veya hayati hizmetleri aksatabileceği konusunda uyarıda bulunuyor.

      Bu siber saldırı, dijitalleşen dünyada kritik sektörlerin karşı karşıya kaldığı güvenlik açıklarının ciddiyetini bir kez daha hatırlatıyor.

      Romanya Seçimlerine Siber Saldırı

      Romanya Anayasa Mahkemesi, Rusya'nın seçimlere müdahale ettiği iddiaları üzerine tarihi bir karar alarak cumhurbaşkanlığı seçimlerinin ilk tur sonuçlarını iptal etti.

      Bu karar doğrultusunda, 8 Aralık 2024 tarihinde yapılması planlanan ikinci tur seçim gerçekleşmeyecek. İlk turu kazanan Călin Georgescu, kararı “resmileşmiş bir darbe” ve demokrasiye yapılan bir saldırı olarak nitelendirdi.

      Anayasa Mahkemesi tarafından yapılan açıklamada şu ifadelere yer verildi:

      "Romanya Cumhurbaşkanı'nın seçilmesine yönelik seçim süreci tamamen yeniden başlatılacak. Hükümet, cumhurbaşkanlığı seçiminin yeni tarihini ve gerekli eylemlerin uygulanması için yeni bir takvim programı belirleyecektir."

      Mahkeme, kararın Anayasa'nın 146(f) maddesine dayanarak alındığını ve seçim sürecinin adil ve yasal bir şekilde yürütülmesinin gerekliliğine vurgu yapıldığını belirtti. Kararın nihai ve bağlayıcı olduğu ifade edildi
      .
      Rus Müdahalesi İddiaları

      Bu karar, Romanya hükümetinin açıkladığı gizliliği kaldırılmış belgelerden günler sonra geldi. Belgelerde, TikTok’ta 25.000 hesaplı bir ağın Călin Georgescu’yu desteklemek için koordineli bir şekilde kullanıldığı ve bunun pro-Rusya etkisi taşıdığı iddia ediliyor.

      Bununla birlikte, Georgescu’nun bu kampanyadan haberdar olup olmadığı ya da destek verip vermediği belgelerden netleşmedi. Rusya ise seçim sürecine herhangi bir müdahalede bulunmadığını belirtti.

      Ayrıca, Romanya İstihbarat Servisi (SRI)seçimlerin ilk turu öncesinde ve sırasında 85.000'den fazla siber saldırı girişimi tespit edildiğini açıkladı. Bu girişimlerin amacı, seçim web siteleri ve BT sistemlerine erişim sağlamaktı.

      SRI, saldırıların ölçeği ve operasyon şeklinin, "devlet destekli bir saldırgana özgü geniş kaynakların kullanıldığını" gösterdiğini belirtti.
       
      Uluslararası Tepkiler

      ABD Dışişleri Bakanlığı Sözcüsü Matthew Miller, şu açıklamada bulundu:

      "Rumen halkı, seçimlerinin demokratik iradelerini yansıttığından ve adil bir şekilde yabancı kötü niyetli etkilerden arındırıldığından emin olmalıdır."

      Avrupa Komisyonu ise TikTok’a yönelik gözetimlerini artırdığını ve platformdan "seçim süreçlerine ve toplumsal söyleme yönelik sistemik riskler taşıyabilecek verilerin dondurulması ve korunması" talebinde bulundu.

      Komisyon ayrıca TikTok’tan:
      • Öneri sistemlerinin tasarımı ve işleyişine ilişkin iç belgeleri,
      • Koordineli sahte davranışlar (CIB) yoluyla manipülasyon risklerine karşı aldıkları önlemleri açıklamalarını istedi.
       
      TikTok’un Müdahalesi ve Araştırmalar

      TikTok, Kasım 2024’ün sonlarında iki küçük ağ tespit ettiğini duyurdu. Ağlardan biri 78 hesap, diğeri ise 12 hesaptan oluşuyordu ve bu hesaplar Georgescu ve bağımsız aday Mircea Geoană lehine kampanya yürütüyordu.

      Eylül ayında ise platform, Romanya’dan faaliyet gösteren ve hükümet karşıtı anlatıları yaymak için sahte hesaplar kullanan 22 hesabı kapattığını duyurdu. Bu ağın toplamda 300.000 takipçisi bulunuyordu.

      TikTok tarafından yapılan açıklamada şu ifadeler yer aldı:
      "Romanya seçimlerini hedefleyen ağlar, TikTok üzerinde küçük ölçekli, ülke içinde koordine edilmiş operasyonlar şeklinde tespit edilmiştir. Platform dışı faaliyetleri de yakından takip ederek gizli etki operasyonlarını ve yanıltıcı davranışları önlemeye çalışıyoruz."

      Avrupa Komisyonu, TikTok’u Resmen Soruşturuyor

      17 Aralık 2024 tarihinde Avrupa Komisyonu, TikTok’un Dijital Hizmetler Yasası’nı (DSA) ihlal edip etmediğine dair resmi bir soruşturma başlattığını duyurdu.

      Avrupa Komisyonu Başkanı Ursula von der Leyen, şu açıklamada bulundu:

      "Romanya cumhurbaşkanlığı seçimlerine yabancı aktörlerin TikTok üzerinden müdahale ettiğine dair ciddi belirtiler sonrasında, TikTok’un Dijital Hizmetler Yasası’nı ihlal edip etmediğini detaylı bir şekilde araştırıyoruz."

      Bu olay, seçim güvenliğinin dijital dünyada ne kadar kritik olduğunu ve sosyal medya platformlarının siyasi manipülasyonlar için nasıl araçsallaştırılabileceğini bir kez daha gözler önüne seriyor. Romanya’nın seçim sürecinin yeniden başlatılması, ülke demokrasisi ve dijital güvenlik açısından önemli bir dönüm noktası olarak tarihe geçti.
       

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      Geçmiş Bültenlerimizi Blog Adresimizden Takip Edebilirsiniz

      29 Aralık 2023

      Siber Güvenlik Bülteni - Aralık 2023

       

      Bültenimizin Aralık Ayı konu başlıkları; 
        • Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler
        • MongoDB'de Veri Sızıntısı
        • İsrail - İran Siber Savaş
        • Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

        Birleşik Krallık merkezli siber güvenlik firması SophosEOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu.

        Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti.

        Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor.

        Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor.

        Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur.

        Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor.

        6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır.

        Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı.

        Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        MongoDB'de Veri Sızıntısı

        MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor.

        MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor.

        "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor:

        "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ."

        Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor.

        Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir.

        Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor.

        Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar.

        Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        İsrail - İran Siber Savaş

        Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor.

        İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor.

        Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti.

        İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti.

        Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor.

        Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti.

        "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı.

        Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti.


        Neden Yapıldı?
        Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi.

        Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]
         

        Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor.

        Sektörel Hedeflenme ve Artan Tehditler:

        Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor.

        Öne Çıkan Tehdit Aktörleri:

        LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor.

        Bölgesel Dağılım ve Avrupa'daki Artış:

        Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor.

        Carbanak'ın Geri Dönüşü:

        Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı.

        Önemli Uyarı ve Öneriler:

        2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir.

        Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar