threatneedle etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
threatneedle etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

01 Mart 2021

Siber Güvenlik Bülteni - Şubat 2021

 

Cisco'da Kritik Zafiyet

 

Cisco'nun siteler arası politika yönetici yazılımında kritik bir güvenlik açığı tespit edildi. Güvenlik açığı uzaktaki bir kullanıcının kimlik doğrulatmayı atlatabilmesine olanak sağlamaktadır. Güvenlik açığı, Cisco ACI Multi-Site Orchestrator (MSO)'da tespit edilmiştir.

Güvenlik açığı (CVE-2021-1388), CVSS güvenlik açığı derecelendirmesinde 10 üzerinden 10 almıştır. Ayrıca zafiyet ACI MSO 3.0 sürümlerini etkilemektedir. Cisco'dan yapılan açıklamada henüz tespit edilen bir istismar kodundan veya kötüye kullanımından haberdar olunmadığı söylendi. Ürün kullanıcılarının zafiyeti engellemek amaçlı Cisco ACI MSO 3.0(3m) sürümüne güncellemeleri gerekmektedir. Ek olarak güvenlik açığı ve öneriler hakkında Cisco güvenlik danışma sayfasını buradan ziyaret edebilirsiniz.

Kargo Firması Oltalama Saldırısı

Her geçen gün oltalama saldırıları farklı bir plan ile hayatımızda yer almaya devam ediyor. Bu seferki saldırıda yaklaşık 10.000 kişi hedeflenmiş ve oltalama saldırı kurgusu DHL Express, FedEx gibi kargo şirketleri taklit edilerek gönderilmiş. Pandemiyi düşününce kargo firmalarını taklit etmeleri gayet zekice bir planlama olduğunu söyleyebiliriz. Saldırının amacı; kullanıcıların kurumsal e postalarını ele geçirmek.

Gönderilen e-posta içerisinde yönlendirme amaçlı linkler bulunmaktadır,​bu linklerin eposta filtrelerine takılmadan ulaşabilmesi için, kimlik avı sayfalarının Quip ve Google Firebase güvenli adresleri üzerinde barındırıldığı tespit edilmiştir. Bu şekilde kötü niyetli sayfaların ve formların, eposta güvenlik servislerini Bypass etmesi sağlanmıştır.

Senaryo şu şekilde planlanmıştır, kullanıcı gelen maile tıkladığında link onu Quip üzerinde bulunan sahte FedEx belgeleri sergileyerek, detaylarının görülmesi için kurbanı detay sayfasına yönlendirmektedir. Kurban buraya tıkladıktan sonra ise Google Firebase üzerinde kurgulanan sahte Microsoft giriş ekranına yönlendirerek kurbanların kullanıcı bilgilerini ele geçirmektedir. Quip ve Google Firebase ücretsiz versiyonları, saldırganların işini kolay ve hızlıca yapmasına olanak sağlamaktadır.

3.2 Milyar Kullanıcı Adı ve Parola

Popüler bir hacking formunda benzersiz ve açık metin olarak derlenmiş 3,2 milyardan fazla kullanıcı adı ve parola ile birlikte giriş bilgisi yayınlandı. Bu bilgilerin daha önceki sızıntılardan elde edilen, Linkedin, Netflix, Bitcoin gibi hesap bilgilerinden derlendiği düşünülüyor.

Bu ihlal dosyasının adı COMB "Compilation of Many Breaches” (Birçok İhlalin Derlenmesi) olarak yayınlanmış ve parola korumalı bir arşiv dosyası olarak paylaşılmıştır. Yapılan incelemelerde uzmanlar, yeni bir ihlal içermediğini ve çoğunluğunun önceki yıllardan gelen ihlallerin bir noktada toplandığını iddia etti. Ayrıca uzmanlar yapılan incelemelerde birçok kullanıcı adı ve parolanın hâlâ geçerli olduğunu ve kullanılabilir olduğunu belirtti. Bunun yanında ihlalin sadece bir liste değil, etkileşimli veri tabanı olması hackerler istediği kullanıcı adı ve parolaya hızlıca ulaşmasına olanak sağlamakta ve riski bir adım ileriye taşımaktadır.

VMware Kritik Zafiyet

Zafiyet (CVE-2021-21972) vCenter, vSphere üzerinde kod çalıştırmaya olanak sağlamaktadır. Vmware sunucularda kritik zafiyet yama yayınlanması akabinde istismar kodu yayınlandı ve birçok saldırgan dünyadaki zafiyetli sistemleri taramaya başladı. Yaklaşık 6,700 VMware sunucusu hali hazırda yamalanmamış ve saldırıya açık durumdadır.

VMware bu zafiyeti 10 üzerinden 9.8 olarak değerlendirdi ve acilen yama yapılmasını önerdi, yamaya buradan ulaşabilirsiniz.

Geçtiğimiz yıllardaki zafiyetlerin fidye saldırılarında kullanıldığına şahit olmuştuk, bu yüzden bu zafiyetinde yeni fidye saldırılarında aktif olarak kullanılacağını öngörmekteyiz, hızlıca yama yapmanızı öneririz.

Saldırından şirket içi veya üretim ortamından herhangi bir kısmın etkilendiğine daire kanıtın olmadığı, ürünlerin kullanımında bir güvenlik problemi olmadığı söylendi.

ThreatNeedle, Saldırılarında Savunma Sanayini Hedef Alıyor

Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word ekinin açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapısı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. İncelenen ThreatNeedle, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerliklerini tespit etti. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

Bu saldırıdan son belirlemelere göre 12 ye yakın ülkede birçok kuruluş saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1,3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Kuzey Kore devleti tarafından desteklenen bilgisayar korsanların yeni hedefi savunma endüstrisi oldu. Kuzey Kore'de nakit problemi yaşayan rejimi finanse etmek için yapıldığı tahmin ediliyor. Saldırıda ThreatNeedle ismini verdikleri zararlı yazılımın aktör olduğu tespit edildi. Dikkatli hazırlanmış oltalama saldırıları ile başlayıp, kurbanların cihazlarını uzaktan kontrol etmelerini sağlayan bir yaklaşım sergilenmektedir.

Covid temalı mailler kurbanlara gönderilmekte ve ekte bulunan kötücül Microsoft Word'ün açılmasıyla sisteme erişim sağlanmaktadır. Sonraki adımda içeriye yerleşen zararlı kendisini Windows arka kapı haline getirerek, sistemde kalıcılığını artırır ve yanal hareketler yaparak ağda keşif ve yayılma işlemlerini gerçekleştirmiş olur.

ThreatNeedle sisteme bulaştıktan sonra hedef sistemi dosya manipülasyonundan komut yürütülmesine kadar kontrolü tamamiyle ele geçirebilmektedir. ​İncelemelerde ThreatNeedle'ın, Lazarus APT grubunun önceki saldırılarda kullandığı zararlı yazılımlar ile benzerlikleri tespit edildi. Yapılan saldırılardaki tespit edilen diğer bir riskli durum ise, herhangi bir kurum üzerine yerleşip kurum yönlendiricilerini proxy olarak kullanıp hedef şaşırtmalarıdır.

​Son belirlemelere göre 12'ye yakın ülkede birçok kuruluş bu saldırılardan etkilendi. Bu ayın başında hazırlanan raporda kripto para borsalarından ve bankalardan ortalama 1.3 Milyar $ çalındığı belirtiliyor. Son yıllarda finans kurumlarını hedefleyen Lazarus Grubu da 2020 başlarından itibaren savunma sanayine odaklandı.

Apple M1 "Silver Sparrow" Zararlı Yazılım

Uzun yıllardır saldırı kullanım yoğunluğunun az olmasından dolayı saldırı gerçekleşmeyen Apple, kullanımı arttığı her geçen gün farklı saldırılara maruz kalmaya devam ediyor. Geçtiğimiz aylarda kendi işlemci yapısı olan M1 işlemcileri duyuran Apple, geçtiğimiz hafta siber saldırıya maruz kaldı. Tespit edilen ilk zararlı yazılımdan günler sonra ikinci zararlı yazılım ile alakalı da tespitler gerçekleşti.

Zararlı yazılım "Silver Sparrow" olarak adlandırıldı ve yaklaşık 30,000 Mac cihazında olduğu düşünülüyor. Ayrıca zararlı yazılım hem M1 işlemcili hem de Intel x86_64 cihazlarında çalışıyor. ABD, İngiltere, Fransa, Kanada ve Almanya yoğun olmak üzere 153 ülkede tespit edildi.

Florida Su Şebekesi Siber Saldırı

ABD'nin Florida eyaletinde su şebekelerine siber saldırı gerçekleşti. Sisteme sızan siber korsanlar sudaki soydum hidroksit oranını artırarak halkı zehirlemeyi planladı. Saldırı gerçekleşirken seviyelerin değiştiğini fark eden bir operatör tarafından kimseye zarar gelmeden engellendi.

Yapılan incelemede saldırının su tesisi üzerindeki SCADA sistemlerini incelemek, kontrol etmek ve gerekli düzenlemeleri yapmak için kullanılan TeamViewer üzerinden gerçekleştiği tespit edildi. Ayrıca sistemde Windows 7 32 bit bir sistem üzerine kurulu bir yapının olduğu, hepsinde aynı parolanın kullanıldığı ve herhangi bir güvenlik önlemi kurgulanmadığı ortaya çıktı.

Erişim bilgilerinin ise nasıl bulunduğu hâlâ araştırılıyor fakat 2017 yılında yayınlanan büyük bir ihlal veri tabanı üzerinde kurum ve çalışanlarına ait birçok parola tespit edildi ve bu parolaların hâlâ geçerli olduğu gözlemlendi. Bu yüzden yapılan saldırı, muhtemelen daha önceden ele geçirilmiş parolalar ile rahat bir şekilde gerçekleşti.

Popüler Yayınlar