Siber Güvenlik Bülteni - Haziran 2024

 

Bültenimizin Haziran Ayı konu başlıkları;  Fortinet, FortiOS Zafiyeti VMware, Kritik vCenter RCE Zafiyeti Botnet, Zyxel NAS Zafiyetini Kullanıyor İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

Fortinet, FortiOS Zafiyeti

Fortinet, FortiOS'un komut satırı yorumlayıcısında çoklu yığın tabanlı arabellek taşması güvenlik açıklarını (CVE-2024-23110) açıkladı. Etkilenen Sürümler ve Çözümler Bu güvenlik açıkları, FortiOS'un çeşitli sürümlerini etkilemektedir. FortiOS 7.4: 7.4.0 ile 7.4.2 sürümleri etkilenmiştir. Kullanıcılar 7.4.3 veya üstü sürüme yükseltmelidir. FortiOS 7.2: 7.2.0 ile 7.2.6 sürümleri etkilenmiştir. Kullanıcılar 7.2.7 veya üstü sürüme yükseltmelidir. FortiOS 7.0: 7.0.0 ile 7.0.13 sürümleri etkilenmiştir. Kullanıcılar 7.0.14 veya üstü sürüme yükseltmelidir. FortiOS 6.4: 6.4.0 ile 6.4.14 sürümleri etkilenmiştir. Kullanıcılar 6.4.15 veya üstü sürüme yükseltmelidir. FortiOS 6.2: 6.2.0 ile 6.2.15 sürümleri etkilenmiştir. Kullanıcılar 6.2.16 veya üstü sürüme yükseltmelidir. FortiOS 6.0: Tüm sürümler etkilenmiştir. Kullanıcılar sabit bir sürüme geçmelidir. Fortinet, sabit sürümlere sorunsuz geçiş sağlamak için yükseltme yolu aracını kullanmayı önermektedir. Araca Fortinet'in Yükseltme Yolu Aracı'ndan erişilebilir. Bu güvenlik açıkları, FortiOS komut satırı yorumlayıcısındaki komut satırı argümanlarının hatalı işlenmesinden kaynaklanmaktadır. Kimliği doğrulanmış bir saldırgan, özel olarak hazırlanmış komut satırı argümanları göndererek bu güvenlik açıklarından yararlanabilir ve yetkisiz kod veya komut çalıştırabilir. Önleme ve Öneriler Fortinet, etkilenen tüm FortiOS sürümlerini kullanan kullanıcıların riskten korunmak için mümkün olan en kısa sürede önerilen sürümlere yükseltmelerini tavsiye eder. Kullanıcılar ayrıca, komut satırı arayüzüne erişimi güvenilir kullanıcılarla sınırlandırmak ve olağandışı etkinlikleri izlemek gibi ağ güvenliği için en iyi uygulamaları takip etmelidir. FortiGate cihazınıza giriş yaparak mevcut FortiOS sürümünü kontrol edin. Yükseltme Yolu Aracını Kullanma Yükseltme Yolu Aracına Erişme: Fortinet’in Yükseltme Yolu Aracı’nı ziyaret edin. Ürün ve Sürümleri Seçme: Mevcut FortiGate ürününüzü, mevcut FortiOS sürümünüzü ve hedef FortiOS sürümünü seçin. Önerilen Yolu Takip Edin: Araç, önerilen bir yükseltme yolu sağlayacaktır. Gerekirse tüm ara yazılım sürümlerini indirin. UYARI: Şubat ayından bu yana Hollanda askeri istihbarat servisi, Çinli tehdit grubunun 2022 ve 2023 yıllarında dünya çapında en az 20.000 FortiGate sistemine erişim elde ettiğini keşfetti; bu, Fortinet'in CVE-2022-42475 güvenlik açığını açıklamasından en az iki ay önceydi. Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

VMware, Kritik vCenter RCE Zafiyeti

VMware, vCenter Server'da uzaktan kod yürütme ve yerel ayrıcalık yükseltme kusurlarını içeren kritik güvenlik açıklarını ele alan bir güvenlik danışma belgesi yayınladı. Üretici CVE-2024-37079, CVE-2024-37080, CVE-2024-37081 olarak adlandırılan üç güvenlik açığı için düzeltmeler yayınladı ve özet olarak şunları içerir: CVE-2024-37079: vCenter Server'ın DCERPC protokolünün uygulanmasında bir yığın taşması güvenlik açığı. Ağ erişimine sahip kötü niyetli bir aktörün özel olarak hazırlanmış paketler göndermesine olanak tanır ve potansiyel olarak uzaktan kod yürütmeye yol açabilir. (CVSS v3.1 puanı: 9.8 “kritik”) CVE-2024-37080: vCenter Server'ın DCERPC protokolünde başka bir yığın taşması güvenlik açığı. CVE-2024-37079'a benzer şekilde, bir saldırganın özel olarak hazırlanmış paketler göndererek yığın taşmasını istismar etmesine ve potansiyel olarak uzaktan kod yürütmeye neden olabilir. (CVSS v3.1 puanı: 9.8 “kritik”) CVE-2024-37081: vCenter Server'da sudo'nun yanlış yapılandırılmasından kaynaklanan bu güvenlik açığı, kimliği doğrulanmış yerel bir kullanıcının bu kusuru kullanarak vCenter Server Appliance'da root ayrıcalıklarına yükseltilmiş yetkilerle erişim sağlamasına izin verir. (CVSS v3.1 puanı: 7.8 “yüksek”) Yukarıdaki kusurlar VMware vCenter Server sürümleri 7.0 ve 8.0 ile VMware Cloud Foundation sürümleri 4.x ve 5.x'i etkilemektedir. VMware vCenter Server 8.0 U2d, 8.0 U1e ve 7.0 U3r sürümlerinde güvenlik güncellemeleri yayınlanmıştır. Cloud Foundation için yamalar KB88287 aracılığıyla sağlanmıştır. Üretici, vCenter Server'ı güncellemenin çalışan iş yüklerini veya sanal makineleri etkilemeyeceğini, ancak güncelleme sırasında vSphere Client ve diğer yönetim arayüzlerinde geçici bir kullanılabilirlik kesintisi yaşanabileceğini belirtiyor.. Üretici, bu güvenlik açıkları için ürün içinde uygulanabilir bir geçici çözüm veya azaltma yöntemi bulunmadığını, bu nedenle önerilen çözümün mümkün olan en kısa sürede güncellemelerin uygulanması olduğunu belirtiyor. VMware, güvenlik bülteninde henüz zafiyetlerin aktif olarak kullanıldığına dair herhangi bir tespit olmadığını belirtiyor. Ancak, vCenter kusurlarının açıklanması durumunda tehdit aktörleri tarafından hedef alınması yaygın bir durum olduğundan, yöneticilerin güncellemeleri mümkün olan en kısa sürede uygulamaları gerekmektedir.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Botnet, Zyxel NAS Zafiyetini Kullanıyor

Shadowserver Foundation, kullanımdan kaldırılmış Zyxel NAS cihazlarında yeni açıklanan kritik seviyedeki bir güvenlik açığının botnet saldırılarında zaten istismar edildiği konusunda uyarıyor. CVE-2024-29973 olarak izlenen bu sorun, kimlik doğrulama gerektirmeden uzaktan istismar edilebilen bir kod enjeksiyon kusuru olarak tanımlanıyor. Geçen yıl, benzer bir kod enjeksiyon hatası olan CVE-2023-27992'yi yamaladığında ortaya çıkmıştı. Bu güvenlik açığını keşfeden ve bildiren uzmanlar, "Bu güvenlik açığını yamalarken, eski yöntemleri kullanan yeni bir uç nokta eklediler ve bunu yaparken, önceki hataların aynısını uyguladılar" şeklinde açıklama yapıyorlar. Araştırmacıya göre, bir saldırgan, uzaktan kod yürütme amacıyla bu güvenlik açığını istismar etmek için savunmasız bir cihaza özel olarak hazırlanmış HTTP POST istekleri gönderebilir. Geçen hafta sonunda, Shadowserver Foundation, bu güvenlik açığını hedef alan ilk istismar girişimlerini Mirai benzeri bir botnet tarafından görmeye başladığını açıkladı. Bu kusuru hedef alan teknik detaylar ve kavram kanıtı (PoC) kodu halka açık olarak mevcut. Zyxel, Haziran ayı başlarında CVE-2024-29973 ve diğer üç hata için yamalar yayınladı, ancak etkilenen ürünler olan NAS326 ve NAS542'nin Aralık 2023'te kullanımdan kaldırıldığını belirtti. Şirket, "CVE-2024-29972, CVE-2024-29973 ve CVE-2024-29974 güvenlik açıklarının kritik seviye olması nedeniyle, Zyxel bu ürünlerin güvenlik desteğinin sona ermesine rağmen, uzatılmış destek alan müşteriler için yamalar sunmuştur" diye uyardı. NAS326 cihazları için V5.21(AAZF.17)C0 firmware sürümü bu kusurları çözerken, NAS542 ürünleri için Zyxel, hataları V5.21(ABAG.14)C0 firmware sürümünde ele aldı. Kullanıcılara cihazlarını mümkün olan en kısa sürede güncellemeleri ve desteklenen ürünlerle değiştirmeyi düşünmeleri tavsiye edilir. Botnet operatörleri de dahil olmak üzere tehdit aktörlerinin, yamaların yayınlandığı ürünlerindeki güvenlik açıklarını hedef aldığı bilinmektedir.

İngiltere'de Sağlık Sektörüne Fidye Yazılımı Saldırısı

İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'teki fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve planlı ameliyatların iptal edilmesine neden olduğunu doğruladı. Şirket, fidye yazılım saldırısının kurbanı olduğunu ve NHS uzmanlarının yardımıyla güvenlik ihlalini araştırdıklarını açıkladı. İngiltere Ulusal Sağlık Hizmeti (NHS England), Synnovis'e yapılan fidye yazılım saldırısının Londra'daki birçok hastaneyi etkilediğini ve 800'den fazla planlı ameliyat ile 700 ayakta tedavi randevusunun iptal edilmesine neden olduğunu doğruladı. Saldırı, Guy’s and St Thomas’ ve King’s College Hospital NHS Foundation Trust'larının yanı sıra güneydoğu Londra'daki birinci basamak sağlık hizmetlerini de olumsuz etkiledi. Saldırının arkasında Qilin fidye grubunun olduğundan şüpheleniliyor. Synnovis, saldırı sonrası sistemlerini kurtarmak için çalışmalarını sürdürüyor, ancak tam iyileşme zaman alacak ve bu süreçte testlerin ve randevuların yeniden planlanması gerekecek. NHS, kan eşleştirme testlerindeki aksaklıklar nedeniyle O tipi kan bağışları için acil bir çağrı yaptı. O Negatif ve O Pozitif kanın kullanımı artırılmış durumda, bu nedenle bağışçılardan kan vermeleri isteniyor. O Negatif kan, acil durumlarda evrensel olarak kullanılabilir ve bu nedenle kritik öneme sahip.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Siber Güvenlik Bülteni - Mayıs 2023

 

Bültenimizin Mayıs Ayı konu başlıkları;  VMware'de Kritik Zafiyetler Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı 2023'ün İlk Çeyrek Fidye Yazılımı Trendleri! Cisco'da Kritik Zafiyetler Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

VMware'de Kritik Zafiyetler

VMware, Workstation ve Fusion zafiyetleri için güvenlik yaması yayınladı. Tespit edilen zafiyetler Workstation ve Fusion için uzaktan kod yürütmeye ve yetki yükseltmeye olanak sağlamaktadır.   Zafiyetler;    CVE-2023-20869; Bluetooth cihaz paylaşım işlevindeki arabellek taşması ve sanal makinenin VMX istismar edilerek kod yürütülmesi zafiyetidir. CVE-2023-20870; Hipervisor belleğinde bulunan kritik verilerinin okunması zafiyetidir.   CVE-2023-20871; VMware Fusion Raw Disk, yerel ayrıcalık yükseltme zafiyetidir.   CVE-2023-20872; SCSI CD/DVD üzerinden veri okunması veya sistemde hipervisorde kod yürütme zafiyetidir.   Güvenlik açıkları, VMware Workstation Pro v17.x ve VMware Fusion v13.x'i etkilemektedir.   Güncelleme yapılan sürümler; VMware Workstation Pro 17.0.2 VMware Fusion 13.0.2 Öneriler; CVE-2023-20869 ve CVE-2023-20870 için sanal makinede Bluetooth desteğini kapatabilirsiniz. CVE-2023-20872 için CD/DVD cihazını sanal makineden çıkarabilir veya VM'i SCSI denetleyicisini kullanmayacak şekilde yapılandırabilirsiniz.

Zyxel Firewall ve VPN Ürünleri için Yama Yayınladı

Zyxel, belirli firewall ve VPN ürünlerini etkileyen uzaktan kod yürütmeye imkan sağlayan iki kritik güvenlik açığı için yama yayınladı. Zafiyetler CVE-2023-33009 ve CVE-2023-33010 referans numaraları ile takip edilebilir.      Etkilenen Cihazlar; ATP (ZLD V4.32'den V5.36 Yama 1'e kadar olan sürümler) USG FLEX (ZLD V4.50 - V5.36 Yama 1 sürümleri) USG FLEX50(W) / USG20(W)-VPN (ZLD V4.25 - V5.36 Yama 1 sürümleri) VPN (ZLD V4.30 ila V5.36 Yama 1 sürümleri) ZyWALL/USG (ZLD V4.25 - V4.73 Yama 1 sürümleri) Geçtiğimiz aylarda çıkan CVE-2023-28771 zafiyeti, aktif olarak Mirai Botnet tarafından sömürülmektedir. Eğer sistemlerinizde yamayı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

2023'ün İlk Çeyrek Fidye Yazılımı Trendleri

Fidye Yazılımı (Ransomware) saldırıları ön plana çıkmaya devam ediyor. Saldırganlar, kar elde etmek için sağlık, eğitim kurumları, hizmet sağlayıcıları, endüstriyel işletmelere kadar her sektörde karşımıza çıkıyor. 2022 yılındaki saldırılarda 2021 yılına oranla %20 artış söz konusu, 2023 yılının ilk çeyreğinde önceki yılların ilk çeyreğine göre de bir artış görülmüştür, ayrıca bunlara ek olarak başarı oranları, saldırıların daha karmaşık hale gelmesi ve daha iyi hedeflenmiş olmasından dolayı oldukça artmıştır. Fidye yazılımlarını artık Windows dışında, Linux ve macOS işletim sistemlerinde de aktif olarak görmeye başladık. Yapılan araştırmalara göre saldırıların %42.9'u yamalanmamış sistemlere gerçekleşirken, geri kalanı ise dışarıya açık uygulama zafiyetleri, oltalama saldırıları, güvenliği ihlal edilmiş hesaplardan oluşmaktadır.    İlk çeyrekte öne çıkanlar; Fidye yazılımı grupları; LockBit3.0, Clop, ALPHV, Royal, Vice Society ve Black Basta'dır. Hedeflenen sektörler; Üretici İşletmeler, Perakende, İnşaat, Eğitim, Ulaşım, Yazılım, Finans ve Sağlıktır.  Hedeflenen ülkeler; Amerika, İngiltere, Kanada, Almanya, Fransa, Avustralya, Hindistan, İtalya, Brezilya ve İspanya'dır. İlk çeyrekte yeni 100'den fazla grup ortaya çıktı. Bu gruplar arasında hareketliliği dikkat çekenler; Medusa Ransomware ve Nevada/ESXi'dir.  Daha önce kapatılan gruplarında değişiklik yaparak geri döneceği konuşulmakta, bunlarda en bilineni ise Hive grubudur.

Cisco'da Kritik Zafiyetler

Cisco, Small Business serisi switchlerde 4 kritik zafiyet için yama yayınladı. Bu zafiyetler, yönetim web arayüzlerindeki açıklıktan dolayı uzaktan kod çalıştırmaya imkan sağlamaktadır.    Cisco zafiyetler için acil güncelleme çağrısı yaptı ve güncelleme yapmanın dışında herhangi bir çözüm önerisi sunmadı. 4 kritik güvenlik açığı  CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, ve CVE-2023-20189 referans numaraları ile takip edilebilir. Web arayüzdeki zafiyeti istismar eden bir saldırganın cihazda root yetkileri ile kod çalıştırabileceği belirtildi.    Etkilenen sistemleri aşağıdaki gibidir; 250 Series Smart Switches 350 Series Managed Switches 350X Series Stackable Managed Switches 550X Series Stackable Managed Switches Business 250 Series Smart Switches Business 350 Series Managed Switches Small Business 200 Series Smart Switches Small Business 300 Series Managed Switches Small Business 500 Series Stackable Managed Switches

Android Zararlı Yazılımı 9 Milyon Cihaza Bulaştı

İllegal bir siber saldırı grubu olan Lemon Group, son 5 yılda yaklaşık 50 telefon firmasında 9 milyon Android cihaza Guerilla zararlı yazılımını yerleştirerek kötü amaçlı faaliyetler gerçekleştirdi.     Saldırgan grup genel olarak bu zararlıyı ek yazılım yüklemek, tek kullanımlık giriş/doğrulama SMS'lerini ele geçirmek, reverse proxy yapmak, WhatsApp oturumlarını ele geçirmek gibi kritik amaçlar için kullanıyor.     Guerilla zararlı yazılımı genel olarak aşağıdaki özellikleri içermektedir; SMS yoluyla alınan tek seferlik şifreleri ele geçirmek Kurban telefon trafiğini reverse proxy ile kullanmak Facebook gibi sosyal medya çerezlerini sızdırmak ve WhatsApp oturumlarını ele geçirmek Normal uygulamalar üzerinde reklam göstermek Uzak C2 sunucusu üzerinden ek APK yüklemek ve mevcut uygulamaları kaldırmak 180'den fazla ülkede 9 milyon cihaza bulaşmış olan zararlı yazılım ağırlıklı olarak Güneydoğu Asya ve Doğu Avrupa'da faaliyet göstermektedir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.