01 Mart 2023

En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA

ZTNA (Zero Trust Network Access) Nedir?

Kurumun sahip olduğu sunuculara, uygulamalara ve servislere gerçekleştirilen uzaktan erişimlerin, erişim kontrol politikaları ile net olarak çizgilerinin belirlenebildiği ve erişime bağlı risklerin düşürüldüğü bir IT güvenlik çözümüdür.



Bu yazımızda ZTNA'nın nasıl doğduğunu ve hangi sorunlara çözüm getirdiğini güncel ihtiyaçları anlatarak açıklamaya çalışacağız.


Sunucu Konumlarının Değişim İhtiyacı

Genişleyen iç ağlar; iç ağda IP trafiği olan donanımların kamera, telefon, terminal vb. cihazların artması, mobil / tablet / taşınabilir uç noktaların artması, farklı işletim sistemlerindeki artış vb. sistemsel çeşitlilikteki artışların bir sonucu olarak iç ağ trafiğinde ve risklerinde de artış doğurmuştur.

Geçmiş dönemlerde ağ topolojilerinde sistemlerin tamamı iç ağda barındırılmaktayken, son dönemlerde ise sunucular, servisler ve uygulamalarda kullanıma bağlı artan ihtiyaçları dolayısıyla topolojiler de şekil değiştirmeye başlamıştı.

İç ağdaki yükü hafifletmesinin yanı sıra, sistemlerin sağlıklı çalışması için ihtiyaç duyulan daha uygun altyapı, düşük maliyet, ortam performansı, bakım ve müdahale desteği gibi çeşitli gereksinimlerden ötürü uzunca bir zamandır "Veri Merkezi" (Data Center - DC) ortamlarına taşınıldığını ve halen taşınmaların devam ettiğini gözlemlemekteyiz.

DC ortamına taşınan sistemler, kurumun tüm kullanıcılarına yönelik erişim sunarken; hem kurum içi ağdan erişen kullanıcıların, hem de kurum ağı dışından erişen kullanıcıların bulunması ile sabit kuralların değişmesi, dinamik değişen kurallar ile yönetimler gerekti. Kurum lokasyonunun dışında durmasına karşın, kurum ağının uzantısı olduğundan ve değişik ihtiyaçlarından ötürü, yine kurumca yakından takip edilmesi ve yönetilmesi gereken bir konu olmasına yol açtı.

Pek çok DC'nin, barındırılan sistemlerin yönetimi için yönetim yazılımları ve/veya yönetim destekleri, uyguladıkları belirli erişim kural setleri olsa da, bunlar ile kurumların dinamik veya kuruma göre farklılaşan ihtiyaçlarını karşılamaları, anlık çözümler getirmeleri pek mümkün olamamaktadır.

Sunucu, servis ve uygulamalara, sadece belirlenmiş kurumsal iç ağdan erişim ihtiyacının dışına çıkılmış olması, birden çok, farklı farklı ağ alanlarından; 

  • kurum iç ağından doğrudan erişim
  • VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
  • İnternet üzerinden herhangi bir uç noktadan direkt erişim

şeklinde erişimlerin olması, kontrolü ve sınırlandırılması daha zor, dağınık bir erişim yönetimi tablosunu ortaya çıkardı.


Dağınık Erişim Konumlarında Yönetim İhtiyacı

Tam olarak da bu noktada, çalışmaların daha dağınık yapılarda yürütülmesi, ZTNA yaklaşımını beraberinde getirdi.


Kurumların diğer kurumlar ile olan dijital çalışma ihtiyaçlarındaki artış; sunucuların, servislerin, uygulamaların kurum tedarikçilerinin, bayilerinin ve müşterilerinin kullanımına açılmasını kaçınılamaz hale getiriyor.

Sistemler büyük çoğunlukla IT yöneticisi tarafından kuruma özgün politikalar ile, kullanım ihtiyaçlarına göre değişken şekilde en başarılı halde yönetilmekteler.

Dağınık alanlarda ve kurumlarda kullanıcı erişiminin olması, farklı kurumlarda farklı kalitede politikaların yürütülmesi, esnek erişim ihtiyaçları, neredeyse tüm İnternet üzerinden erişilebilir halde hizmet verilmesi anlamına gelmeye başlasa da, tam olarak bu aşamada ZTNA devreye giriyor ve bu çözüm sayesinde artık kontrolsüz, sınırsız erişim olmadan da güvenli erişim ve yönetim sağlanabiliyor.


ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.



Keskin sınırlamaların uygulanmasından, çok esnek erişim uygulanması durumlarına kadarki tüm yönetim düzeylerinde ZTNA çözümleri hem bir yönetici çözüm, hem de riski azaltıcı faktör olarak destek veriyor.

Erişimin hangi kurallar ile gerçekleştirilebileceği, hangi servisin hangi kullanıcıya, hangi zaman diliminde hizmet vereceği vb. esnetilebilen, seçilebilen, kullanıcıya, servise göre çeşitli kombinasyonlarla belirlenebilen yönetim politikaları, ilgili sunucu, uygulama, servis'e erişimden önce kullanıcı doğrulaması gereksinimi ile de bütünleşince, ZTNA çözümleri tüm İnternet'e açık kalan sistemleri eskisinden de güvenli hale getirdi.


YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/) 

TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.


Dene ve Al Stratejisini Öneriyoruz

Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.


TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

E-posta ile: [email protected]

Online Tanıtım randevunuzu buradan da başlatabilirsiniz.

23 Şubat 2023

Siber Güvenlik Bülteni - Ocak 2023

 

Bültenimizin Ocak Ayı konu başlıkları; 
    • Ransomware, VMware ESXi Sunucularını Vuruyor
    • Fortinet Kullanan Kamu Kurumları Dikkat!
    • Yandex Kaynak Kodları Sızdırıldı
    • F5 BIG-IP Cihazlarında Yüksek Zafiyet

    Ransomware VMware ESXi Vuruyor

    Fransız Siber Olaylara Müdahele Ekibi (CERT-FR), saldırganların fidye yazılımı saldırıları için VMware ESXi sunucularını hedeflediği konusunda uyarıda bulundu. CERT-FR, saldırganların bu saldırıda CVE-2021-21974 referanslı güvenlik açığını kullandığını bildirdi.

    Bu zafiyet; OpenSLP'de bulunan yığın taşması (heap-overflow) zafiyeti içermektedir. ESXi ile aynı ağda bulunan ve 427 numaralı porta erişimi olan saldırgan bu zafiyeti tetikleyerek uzaktan kod yürütümesine olanak sağlayabilir.

    Etkilenen Sistemler;
    • ESXi70U1c-17325551'den önceki ESXi 7.x versiyonları 
    • ESXi670-202102401-SG'den önceki ESXi 6.7.x versiyonları
    • ESXi650-202102101-SG'den önceki ESXi 6.5.x versiyonları

    Yapılacaklar;
    • Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişim izni vermek (https://kb.vmware.com/s/article/76372)
    • ESXi versiyonunu en son sürüme güncellemek
    • Verileri erişilemez şekilde yedeklemek
    • Güvenilir IP adreslerine gerekli servislerin ACL ile filtrelemek
    • Anomali davranışlarını takip etmek

    Fortinet Kullanan Kamu Kurumları Dikkat!

    Fortinet araştırmacıları, saldırganların yakında zamanda yamalanan FortiOS SSL-VPN (CVE-2022-42475) zafiyetini kullanarak kamu kurumlarına siber saldırı yaptığını belirtti. Bu zafiyet, yığın taşmasına sebep olarak uzaktan kod çalıştırmaya olanak sağlamaktadır.

    Zafiyet FortiOS 7.2.3'ün yayınlaması ile kapatıldı, fakat henüz güncelleme yapılmamış çok sayıda sistem de mevcut.

    Belirtilen zafiyetin daha önce de Dark Web üzerinden dağıtılarak, hedef ağlar üzerinde izinsiz erişim için kullanıldığı bilinmektedir. Zararlı yazılım ile aynı zamanda; tespitlerden kaçınmak için günlük kayıtlarını silme, engelleme, manipüle ve gerçekleştirilen işlemlere veri enjekte edebilmektedir.
     

    Yandex Kaynak Kodları Sızdırıldı

    Yandex kaynak kodları illegal bir forum sitesinde paylaşıldı. Paylaşılan verilerin Temmuz 2022'de ele geçirildiği ve 44.7 GB olduğu bilgisi paylaşıldı. Yandex herhangi bir hacklenme vakası olmadığını, eski bir çalışanın verileri sızdırdığını iddia etti.

    Kodları Sızdırılan Yandex Ürünleri;

    Yandex Arama Motoru ve İndeksleme Botu
    Yandex Haritalar
    Alice
    Yandex Taxi
    Yandex Direct
    Yandex Mail
    Yandex Disk
    Yandex Market
    Yandex Travel
    Yandex360
    Yandex Bulut
    Yandex Pay
    Yandex Metrika

    Yandex kodların ana kodlar ile uyum sağlamadığını dile getirsede farklı güvenlik ve yazılım uzmanları büyük benzerlik olabileceğini ve bu kodlar sayesinde yeni zafiyetlerin keşfedilebileceğini dile getirdi.

    F5 BIG-IP Cihazlarında Yüksek Zafiyet

    Kurumsal güvenlik uzmanı ve ağ ürünleri şirketi olan F5 ürünleri üzerinde yüksek zafiyet tespit edildi. F5 BIG-IP cihazlarını etkileyen yüksek dereceli zafiyetler DoS saldırısına ve uzaktan kod yürütmeye olanak sağlamakta.

    iControl SOAP arayüzünden kaynaklanan zafiyet, saldırganın iControl SOAP CGI sürecinin etkilenmesine ve uzaktan rastgele kod yürütmeye olanak sağlamaktadır. Zafiyet CVE-2023-22374 kodu ile takip edilebilir.

    Geçici bir çözüm olarak şirket; kullanıcıların iControl SOAP API'ye erişimi yalnızca güvenilen kullanıcıların erişimine kısıtlamasını önerdi.

    Etkilenen BIG-IP Sürümleri

    13.1.5
    14.1.4.6 - 14.1.5
    15.1.5.1 - 15.1.8
    16.1.2.2 - 16.1.3 ve
    17.0.0

    02 Kasım 2022

    Siber Güvenlik Bülteni - Ekim 2022

     

    Bültenimizin Ekim ayı konu başlıkları; 

      • Parlamentoya Siber Saldırı
      • 1 Milyon Chrome Kullanıcısı Risk Altında
      • Binance'da Büyük Vurgun
      • 65.000 Şirket Yanlış Yapılandırma Kurbanı

      Parlamentoya Siber Saldırı

      Geçtiğimiz günlerde yine herkesi şaşırtmaya devam eden siber saldırılardan biri gerçekleşti. Rusya - Ukrayna savaşı devam ederken, paralelinde siber savaş devam ediyor. 

      Büyük bir siber saldırı Slovakya ve Polonya parlamentosunu vurdu. Siber saldırı sonucunda parlamento bilişim sistemleri ve telefon hatları ulaşılamaz hale geldi. Bu saldırının gerçekleştiği esnada yapılmak üzere olan yasa tasarısı oylaması oturumuna ara verilmek durumunda kalındı.

      Saldırının arkasında Rusya olduğu iddia edilirken, oylama sistemine yapılan saldırı ile oylamada manipülasyonun da etkili olabileceği üzerine hızlı bir araştırma başlatıldı. 

      Dünya üzerinde çevrimiçi oylama talepleri her geçen gün artarken, bu tür saldırılar seçim güvenliği açısından birçok kişiyi de tedirgin etmeye devam etmektedir.

      1 milyon Chrome Kullanıcısı Risk Altında

      Web tarayıcılar, siber dünyaya açılan ilk kapımız olarak kullanım ihtiyacına hizmet etmeye devam ediyor. Her geçtiğimiz yıl insanların gizlilik ve güvenilirlik ilkesine olan ihtiyaçları yeni ve çeşitli web tarayıcılarının hayatımıza girmesine olanak sağlıyor. 200'ün üzerinde web tarayıcı bulunmaktadır.

      Bu web tarayıcılarda özelleştirme ihtiyaçlarınıza istinaden eklentiler kurulabilir hale gelmiştir ve eklentiler dışarıdan da geliştirilebilmektedir.

      Renk özelleştirme seçeneği sunan 1 milyon yüklemeye ulaşmış 30 tarayıcı eklentisinin zararlı reklam kampanyasına hizmet ettiği ortaya çıktı. Bu zararlı reklam kampanyasına "Dormant Colors" ismi verildi.

      Şimdiye kadar zararlının çalışma şekli; kurbanın arama sonuçlarını toplayıp, farklı alanlara reklam ile yönlendirerek trafiğinin satışını sağlamaktır. Fakat web tarayıcıya yerleştiği an itibariyle kurbanın banka bilgileri, sosyal medya hesapları, Google Workspace, Microsoft 365 gibi sık kullandığı kritik uygulama bilgilerini de çalmak için kimlik avı sayfalarına yönlendirerek sosyal mühendislik yöntemi ile ele geçirilebileceğini de unutmamak gerekiyor.

      Binance'da Büyük Vurgun

      Dünyanın en büyük kripto para borsası Binance, siber korsanlar tarafından 566 milyon dolar çalındığı iddia edildi. Varlıkların bağımsız blok zincirinden diğerine transferini kolaylaştırmak için tasarlanan BNB Zinciri ve Binance Akıllı Zinciri olarak da bilinen Binance blok zinciri, BSC Token Hub çapraz zincir köprüsünü etkileyen bir zafiyet keşfedildi. Bu keşif sonrası Bİnance işlemleri ve fon transferlerini askıya aldı.

      BSC Token Hub köprüsündeki zafiyetten faydalanan siber korsanlar sahte mesaj oluşturmasına ve yeni BNB jetonları basmasına olanak sağladı. Yaklaşık 2 milyon BNB aktarmaya çalışan siber korsanlar, Binance'ın işlemlerinin durdurulmasının akabinde 110 milyon doları başarılı olarak aktarırken geri kalan 430 milyon dolar paranın ise aktarımının engellendiği duyuruldu.

      Daha önce de benzer metotlar ile birçok kez farklı borsalardan vurgun yapıldı. Şimdiye kadar kripto para borsalarından yaklaşık 2 milyar dolarlık kripto para çalındı.

      65.000 Şirket Yanlış Yapılandırma Kurbanı

      Herhangi bir ürünün kullanımı konusunda sağlanan fayda kurum çalışanlarının ürün hakkındaki yetkinliği veya destek alınan entegratörün yetkinliği düzeyinde olmaktadır. Birçok güvenlik odaklı üründe bile, savunma amaçlı konumlandırılan ürünlerin yanlış yapılandırılması sonucunda kurumu korumak yerine, saldırı hedefi haline getirmektedir.

      Microsoft, yanlış yapılandırma sonucu 65.000 şirketin verilerinin açığa çıktığını doğruladı. SOCRadar bu veriler arasında faturalar, müşteri bilgileri, ürün sipariş bilgileri, müşteri sözleşmeleri gibi kritik verilerinde bulunduğu yaklaşık 2,4 TB bir verinin açığa çıktığını belirtti. Konuyla alakalı olarak tespit edilen müşterilere bilgilendirme yapıldı. Henüz herhangi bir saldırı girişimi tespit edilmedi, fakat bu tür verilerin gizli şekilde satıldığı bilinmektedir, ayrıca bu veriler ile önümüzdeki dönemlerde kurumlara ciddi bir saldırı planı çıkartacağını da unutmamak gerekmektedir.

      Kurumların bulut sistemlere geçişlerinde, tedarikçi firmanın sadece alan verdiğini, güvenlik, yapılandırma ve süreç yönetimi konularının satın alan kuruma ait olduğu unutulmamalıdır. Bu yanlış algılar sonucunda birçok kurum buluta geçiş ile birlikte güvenliğin tamamen tedarikçi tarafından karşılanacağı yanılgısı birçok kez verilerin açığa çıkmasına sebebiyet vermiştir.

      07 Ekim 2022

      Siber Güvenlik Bülteni - Eylül 2022

       

      Bültenimizin Eylül ayı konu başlıkları; 
        • Microsoft Exchange Zafiyetleri İstismar Edildi
        • LastPass Ağında 4 Gün
        • Uber'de Güvenlik İhlali
        • Cisco'da Fidye Yazılımı Krizi

        Microsoft Exchange Zafiyetleri İstismar Edildi

        Microsoft, Exchange Server 2013, 2016 ve 2019 versiyonlarında, yakın zamanda ortaya çıkan iki farklı sıfır gün (zero-day) güvenlik açığının istismar edildiğini doğruladı.

        CVE-2022-41040 (SSRF) ve CVE-2022-41082 (RCE) zafiyetleri ile ilgili (yazımız hazırlanırken henüz bir yama yayınlanmamış idi) gelişmeleri aşağıdaki linkler üzerinden takip edebilirsiniz.

        https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
        https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

        Microsoft, Exchange müşterilerinin "URL Rewrite Instructions" konusunun incelenmesini ve uygulanmasını, açık olan Uzak PowerShell portlarının ise engellenmesini öneriyor.

        Bilinen Saldırı Metotlarını Engelleme için ise; IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions bölümüne engelleme kuralı eklenmesi gerekmekte.


        Güvenlik Açığı Bulunan Sunucularda;

        1. IIS Manager açın
        2. Default Web Site'ı genişletin
        3. Autodiscover seçin
        4. Feature View menüsünde URL Rewrite'ı tıklayın
        5. Sağ taraftaki Action bölmesinde, Add Rules'ı tıklayın
        6. Request Blocking'i seçin ve tamam'a tıklayın
        7. String olarak .*autodiscover\.json.*\@.*Powershell.*” ekleyin ve tamam'a tıklayın.
        8. Kuralları genişletin ve ".*autodiscover\.json.*\@.*Powershell.*" kuralını seçin ve Edit under Conditions'a tıklayın.
        9. {URL} olan koşul girişini {REQUEST_URI} ile değiştirin.


        Uzaktan PowerShell erişimini engellemek için ise HTTP: 5985 HTTPS: 5986 portlarını engelleyin.


        Exchange sunucularınızın ihlalinin kontrol etmek için IIS günlük dosyalarında tarama için aşağıdaki PowerShell komutunu çalıştırabilirsiniz.

        Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

        LastPass Ağında 4 Gün

        LastPass, Ağustos ayında yaşadığı güvenlik ihlalinde saldırganların tespit edilip, sistemden temizlenene kadar yaklaşık 4 gün ağda kaldıklarını açıkladı.

        Geçtiğimiz aylarda LastPass, sistemlerine izinsiz erişim olduğunu tespit ettiğini açıkladı, saldırganların müşteri verilerine veya şifreli parola kasalarına erişimine dairse herhangi bir kanıt olmadığını açıkladı. Ayrıca bu saldırıda saldırganların geliştirme ortamına girdiği de belirtildi.

        Yapılan araştırmalardan, saldırganın LastPass yazılım geliştiricisinin hesabını ele geçirmesi yoluyla geliştirme ortamına ağ erişimi sağladığı tespit edildi. Bu erişim sonucunda kaynak kodun bir kısmının ve bazı özel teknik bilgilerin de sızdırıldığı düşünülüyor.

        LastPass'in dünya çapında 30 milyondan fazla kullanıcısı bulunuyor. LastPass kullanıcılarının -henüz devrede değil ise- 2 adımlı doğrulamayı mutlaka devreye almasını öneriyoruz.

        Kullanıcıların bu türde bir saldırıda alabileceği en etkili önlem 2 adımlı doğrulama sistemini kullanmaktır. Kullanıcıların bu veya benzeri tüm üye olunarak kullandıkları servislerde -eğer varsa- 2 adımlı doğrulamayı mutlaka devreye almasını önermekteyiz.

        Uber'de Güvenlik İhlali

        Dünyanın en büyük taksi servisi Uber tekrar hacklendi. 2016 yılında hacklenen ve bunu gizleyen ve hackerlara bunun için ödeme yapan Uber yeni bir saldırı ile karşı karşıya kaldı.

        Bu tür saldırıları gizlemesi ile bilinen Uber, bu seferki saldırının açığa çıkmasıyla bir açıklama yaparak tekrar sessizliğe büründü.

        Uber çalışanlarından olan bir kişiye yapılan sosyal mühendislik saldırısı ile erişim bilgilerine ulaşıldı ve yetki sağlandı. Bu yetki ile izinsiz şekilde şirkete ait Slack kanallarına, yedeklenmiş dosyalara, müşteri kayıtlarına, Amazon Web Servislerine erişim bilgilerine, şirket sistemlerine ait zafiyet raporları gibi oldukça kritik bilgilere erişildi.

        Bu bilgilerin sosyal medya üzerinde bir hesap tarafından ekran görüntüleri ile paylaşılmasından sonra da Uber saldırıyı doğruladı.

        ---
        Firmalarda personelin, bayilerin veya tedarikçilerin kullanımına özgü olan, halkın geneline açık olmayan sunuculara daha güvenli erişim sağlanabilmesi, bu tip saldırılara karşı ek bir güvenlik katmanı olarak koruma sağlaması amacıyla geliştirdiğimiz son ürünümüz TINA Güvenlik Katmanı hakkında bilgi almak ve İnternet üzerinden gelebilecek olan saldırılara karşı mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşabilmemiz için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        Cisco'da Fidye Yazılımı Krizi

        Ağustos ayında Cisco bir güvenlik ihlali açıkladı, Yanluowang fidye yazılımı çetesi Mayıs sonunda şirket ağını ihlal ederek, şirket sunucularından birçok veriyi sızdırdı.

        Cisco güvenlik ekipleri yaptıkları inceleme sonucunda şirket çalışanlarından bir kişinin kişisel hesabına erişim sağlanması sonucunda, 2 adımlı doğrulamanın da sosyal mühendislik ile atlatması yoluyla saldırgan grubun şirket hesaplarına da erişim sağladığını belirtti.

        Kullanıcının VPN hesabı ile firma ağına sızan saldırgan grup, LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz ve İmpacket gibi araçlar ile de ağa erişimini güçlendirdi.

        Saldırgan grup, gizli belgeler, teknik şemalar ve kaynak kodu içeren 55 GB'lik dosya sızdırdığını iddia etmekte, ancak Cisco bunu reddederek  çalınan verilerin hassas bilgiler içermediğini ve güvenlik ihlalinin işletme üzerinde hiçbir etkisi olmadığını belirtti.

        Siber Saldırılara Karşı
        TINA Çözümlerimiz

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

        03 Ağustos 2022

        Siber Güvenlik Bülteni - Temmuz 2022

        Bültenimizin Temmuz ayına ait başlıkları; 
          • Bir Milyar Kişinin Verileri Sızdırıldı
          • AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu
          • Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı
          • Sahte İş İlanları Can Yakmaya Devam Ediyor
          • FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

           Bir Milyar Kişinin Verileri Sızdırıldı.

          Veri sızıntı haberlerini neredeyse her gün görmeye başladık. Big Data (büyük veri) kavramıyla birlikte yoğun olarak veriler dijital ortama aktarılmaya başlandı. Bu dijitalleşme esnasında ise veriler yönetilemeyen ve korunamayan bir hale geldi. Bu durumun son vakası da şimdiye kadar en büyük ihlallerden biri olan 1 milyara yakın Çin vatandaşının verilerinin ifşası oldu.
           
          Veri sızıntısının Polis sisteminde tespit edilen bir arka kapı aracılığıyla gerçekleştiği düşünülmektedir. Online olarak yayınlanan veritabanında kullanıcılar istediği kişinin verilerine ulaşabilir hale geldi. Bir hacker forumunda 23 terabayttan fazla verinin de "10 BTC karşılığı satılık" ilanı verilmesi sonucu web sitesi erişime kapatıldı.

          Çalınan veritabanının Şanghay polisi tarafından derlendiği ve veritabanında vatandaş isimleri, adresleri, cep telefonları, ulusal kimlik numaraları, doğum tarihleri ve yerleşim yerlerinin yanı sıra polis ile yapılan telefon görüşmesi kayıtlarının da yer aldığı iddia edildi.

          AstraLocker Fidye Yazılımı Operasyonlarını Durdurdu

          Fidye yazılımı saldırıları ve talep edilen miktarlar artmaya ve boyut değiştirmeye devam ediyor.

          Fidye yazılımı grubu AstraLocker geçtiğimiz ay fidye saldırılarını durdurduğunu ve daha önceki saldırılara ilişkin şifre çözücülerini yayınladığını duyurdu. Artık fidye yazılımları yerine, operasyonlarına kripto hırsızlığı tarafında devam edeceğini açıkladı.

          Daha önce bu tür karar alan gruplara yine şahit olmuştuk, bunların altındaki en büyük neden kolluk kuvvetlerinin yoğun baskılarının ve çalışmalarının olduğunu biliyoruz. Fakat bazı grupların operasyonları durdurma kararı sonrası, ekipten ayrılanların yine farklı gruplar halinde saldırılara devam ettiği de görülmektedir.

          AstraLocker 2.0 adıyla Microsoft Word belgeleri kullanarak oltalama saldırılarıyla karşılaşmıştık. Birçok fidye yazılımı grubu gibi AstraLocker'ın da Monero kullandığı bilinmektedir.

          Fortinet Yüksek Güvenlik Açıkları İçin Yama Yayınladı

          Fortinet çeşitli ürünlerinde çıkan zafiyetler için yama yayınladı. Bu zafiyetlerden etkilenen ürünler; FortiADC, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiClient, FortiDeceptor, FortiEDR, FortiNAC, FortiSwitch, FortiRecorder ve FortiVoiceEnterprise.

          Yaması yayınlanan zafiyetlerin 4'ü yüksek önem derecesine sahiptir, bunlar; CVE-2022-26117CVE-2021-43072, CVE-2022-30302 ve CVE-2021-41031'dir.

          Daha öncede Fortinet VPN cihazlarındaki zafiyetler kullanılarak, iç ağa sızılmış ve fidye yazılımı saldırısı gerçekleştirilmiş, birçok şirket mağdur olmuştu.


          Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

          Sahte İş İlanları Can Yakmaya Devam Ediyor

          Pandemi dönemiyle birlikte ülkemizde de uzaktan çalışma popüler hale geldi. Pandeminin son günlerde vaka sayılarının azalmasıyla birçok şirket ofislerine dönmeye başladı ve bazı çalışanlar bu durumdan çokta memnun kalmadı ve yeni iş arayışına girmeye başladı.

          Tam da buradaki insan odaklı zafiyeti gören saldırgan gruplar sahte iş ilanları oluşturup, bir başvuru formu gibi PDF olarak görünen zararlı yazılımları göndermeye başladı. Çok iyi ücretler ve imkanlar teklif eden saldırgan gruplar ağına birçok kıdemli çalışanı düşürmeyi başardı. Bu süreçte ağırlıklı kripto para borsalarında çalışanlara gerçekleştirilen saldırılar ile ağa sızan saldırgan gruplar kripto borsalarından milyonlarca dolarlık kripto para çaldılar.

          Ayrıca yapılan açıklamada blok zinciri projelerinin bu tür saldırılar ve zafiyetlerden kaynaklı kaybının yılın ilk altı ayında 2 milyar dolardan fazla olduğu belirtiliyor.

          Benzer saldırıları da yoğun olarak ülkemizde görmekteyiz. Kullanıcıları hedefleyen saldırganların en aktif kullandığı alanlar E-posta, Linkedin ve SMS olarak karşımıza çıkıyor. Kullanıcılara özel olarak hazırlanmış dosyaları veya linkleri paylaşan saldırgan gruplar, bu kullanıcılar aracılığıyla hem kullanıcıları hem de çalıştıkları şirkete sızmaya olanak sağlamış oluyor.

          FileWawe Güvenlik Zafiyetleri Mobil Cihazlarda Tam Kontrol Sağlıyor

          Şirketlerin akıllı cihazlara olan ihtiyacı her geçen gün artıyor. Bu cihazlara olan ihtiyaçlar haliyle kurumların dışarı açık başka bir kapı oluşturuyor, bunun için ise birçok kurum cihazların güvenliğini sağlamak adına MDM Cihaz Yönetimi (Mobile Device Management) çözümlerine başvuruyor.  Bu çözümler sayesinde BT ekibi merkezi bir sunucu üzerinden cihazların işletim sistemlerinin, güncellemelerin ve kullanılan uygulamaların yönetilmesine olanak sağlıyor ve şirketler bu şekilde hem cihazları hem de çalışanlarını ve bilgilerini kontrol altına alabiliyor. 

          Geçtiğimiz hafta FileWave'in MDM ürününde iki kritik zafiyet tespit edildi; kimlik doğrulama atlatma zafiyeti (CVE-2022-34907) ve sabit kodlanmış şifreleme anahtarı zafiyeti (CVE-2022-34906). Araştırmalara göre ürünü kullanan büyük işletmeler, eğitim ve devlet kurumları da dahil 1.100'den fazla kurum bu zafiyetlere maruz kaldı ve/veya kalabilir durumda.

          Şirket hızlıca bir güncelleme yayınladı ve kullanıcıların acil olarak sürümlerini güncellemelerini önerdi. Bu tür 3. parti ürünlerin güvenlik amaçlı kullanımı sırasında bir anda bir silaha dönüşebileceğinin farkında olunması ve bu doğrultuda planlama yapılmasının unutulmaması gerekiyor.

          Bu zafiyetler sonucu kurum ağına sızılarak tüm ağda tam yetki tanımı yapılarak ağda istenilen aksiyon alınabilir, bu testlerde ise kanıtlandı ve kurum ağında yetkiyi alan güvenlik uzmanları tüm ağa ransomware bulaştırmayı başardı.

          Geçtiğimiz yıl Kaseya tarafındaki zafiyet aracılığıyla birçok kurum etkilenmiş ve bizlere tekrar 3. parti firmalar ile olan çalışmalarda da ne kadar dikkatli olmamız gerektiğini göstermişti.

          Siber Saldırılara Karşı
          TINA Çözümlerimiz

          En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

          Popüler Yayınlar