08 Mart 2023

Siber Güvenlik Bülteni - Şubat 2023

 

Bültenimizin Şubat Ayı konu başlıkları; 
    • FortiNAC ve FortiWeb Güncellemeleri
    • Carbon Black App Control Kritik Zafiyeti
    • GoDaddy Güvenlik İhlali
    • GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

    FortiNAC ve FortiWeb Güncellemeleri

    Siber güvenlik çözümleri şirketi Fortinet, FortiNAC ve FortiWeb ürünleri için kimliği doğrulanmamış saldırganların; kullanıcı adı veya parola gereği olmaksızın, uzaktan kod çalıştırmasına izin veren iki önemli zafiyet için güvenlik güncellemeleri yayınladı.

    FortiNAC ürününü etkileyen zafiyet CVE-2022-39952 referans numarası ile takip edilebilir, etkilenen ürün sürümleri;

    FortiNAC 9.4.0 sürümü
    FortiNAC 9.2.0 ila 9.2.5 sürümleri
    FortiNAC 9.1.0 ila 9.1.7 sürümleri
    FortiNAC 8.8 tüm sürümler
    FortiNAC 8.7 tüm sürümler
    FortiNAC 8.6 tüm sürümler
    FortiNAC 8.5 tüm sürümler
    FortiNAC 8.3 tüm sürümler

    FortiNAC 9.4.1 ve üzeri, 9.2.6 ve üzeri, 9.1.8 ve üzeri ve 7.2.0 ve üzeri sürümlerde düzeltildiği belirtilmiştir.

    FortiWeb ürününü etkileyen zafiyet CVE-2021-42756 referans numarası ile takip edilebilir, etkilenen ürün sürümleri;

    FortiWeb 5.x tüm sürümleri
    FortiWeb 6.0.7 ve altı sürümler
    FortiWeb 6.1.2 ve altı sürümler
    FortiWeb 6.2.6 ve altı sürümler
    FortiWeb 6.3.16 ve altı sürümler
    FortiWeb 6.4 tüm sürümleri

    FortiWeb 7.0.0 veya sonraki sürümlerine, 6.3.17 veya sonraki sürümlerine, 6.2.7 veya sonraki sürümlerine, 6.1.3 veya sonraki sürümlerine ve 6.0.8 veya sonraki sürümlerine yükseltilmesi gerekliliği belirtilmiştir.

    Zafiyetler ile alakalı gerekli güncellemeler dışında, geçici herhangi bir öneri bulunmamaktadır, hızlıca güncellemeler planlanıp, uygulanmalıdır. FortiWeb'i etkileyen zafiyetin referans numarasından anlaşıldığı üzere 2021 yılında çıkan zafiyet henüz kapatılabilmiştir, bu süre zarfında olağan ihlaller göz önünde bulundurulmalıdır.

    Carbon Black App Control Kritik Zafiyeti

    VMwareCarbon Black App Control Windows versiyonlarının çeşitli sürümlerini etkileyen kritik bir zafiyet için güncelleme yayınladı. Şirket bu zafiyetin temel işletim sistemine erişim elde etmek için kullanılabileceği konusunda uyardı.

    Carbon Black App Control, şirketlerin uç noktalarının yalnızca güvenilir ve onaylanmış yazılımları kullanmalarına imkan sağlayan bir üründür.

    CVE-2023-20858 referans numarası ile takip edilen zafiyet, App Control yönetim konsoluna ayrıcalıklı erişimi olan bir saldırganın, özel hazırlanmış girdi ile işletim sistemine erişmesine izin vermektedir. Bu sayede uç sistemlerin ve zafiyetli tüm istemcilerin tamamen ele geçirmesine yol açabilir.

    CVE-2023-20858 zafiyetinden etkilenen sürümler;

    8.7.x
    8.8.x
    8.9.x

    Carbon Black App Control 8.9.4, 8.8.6 ve 8.7.8 sürümlerine yükseltilmesi gerekir.(https://www.vmware.com/security/advisories/VMSA-2023-0004.html)

    Üretici şirket, dolaylı bir çözüm veya kaçınma tavsiyesi vermemiştir, tek çözüm olarak güncellemelerin hızlıca planlanıp uygulanması gerekmektedir.

    GoDaddy Güvenlik İhlali

    Web hosting sağlayıcısı GoDaddy, kaynağı belli olmayan uzun süreli bir saldırı aldığını, bu saldırıda kaynak kodlarının çalındığını ve sunucularına zararlı yazılım yüklendiği bir ihlale maruz kaldığını belirtti.


    GoDaddy saldırıları ilk olarak Aralık 2022'de bazı müşteri sitelerinin rastgele alanadlarına yönlendirilmek için kullanıldığını fark etti, fakat daha sonra saldırganların şirket ağına birkaç yıl boyunca izinsiz erişim sağladıkları anlaşıldı.

    Şirket, daha önce Kasım 2021 ve Mart 2020'de açıkladığı ihlallerin de bu saldırı ile bağlantılı olduğunu belirtiyor. Kasım 2021'de saldırganlar güvenliği ihlal edilmiş bir parola ile GoDaddy'nin Wordpress hosting ihlali sonrasında 1.2 milyon Wordpress müşterisi etkilenmişti. Mart 2020'de ise saldırganların web hosting kimlik bilgilerini SSH yoluyla hosting hesaplarına bağlanmak için kullandığı konusunda 28.000 müşterisini uyarmıştı.

    Şirket, yaptığı araştırmalarda saldıran grubun farklı hosting firmalarını da hedeflediği konusunda uyarıda bulundu. Saldırganların bu ihlal ile amaçlarının kimlik avı kampanyaları, zararlı yazılım dağıtımı ve illegal faaliyetler için sunuculara ve web sitelerine zararlı yazılım bulaştırmak olduğu düşünülüyor.

    GoAnyWhere Zafiyeti 1 Milyon Hasta Bilgisine Mal Oldu

    ABD'deki en büyük hastane zincirlerinden birisi, siber saldırganların GoAnyWhere MFT yazılımındaki bir güvenlik açığından faydalanarak 1 Milyon hastanın korumalı sağlık bilgilerini ele geçirdiğini söyledi. 

    GoAnyWhere MFT, yönetilebilir dosya transfer ürünüdür.

    Güvenlik zafiyeti CVE-2023-0669 referans numarası ile takip edilebilir. Üretici, ürünün normal şartlarda dışarıdan erişime kapalı olması gerektiği ve zafiyetten etkilenenlerin ürün yönetim konsolunu dışarı açtıkları için ihlal yaşadıklarını belirtiyor. 

    Clop fidye zararlı yazılım grubu ise, bu zafiyetten faydalanarak 130'dan fazla şirketten verilerini çaldıklarını iddia ediyor. Hızlıca yapılan bir tarama ile 136 şirketin ürününe dışarıdan erişimin açık olduğu görülüyor.

    CISA (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) ise ABD federal kurumlarına 3 Mart'a kadar yama yapmaları konusunda emir verdi.

    01 Mart 2023

    En Güncel ve En Etkili Savunma Yaklaşımı: ZTNA

    ZTNA (Zero Trust Network Access) Nedir?

    Kurumun sahip olduğu sunuculara, uygulamalara ve servislere gerçekleştirilen uzaktan erişimlerin, erişim kontrol politikaları ile net olarak çizgilerinin belirlenebildiği ve erişime bağlı risklerin düşürüldüğü bir IT güvenlik çözümüdür.



    Bu yazımızda ZTNA'nın nasıl doğduğunu ve hangi sorunlara çözüm getirdiğini güncel ihtiyaçları anlatarak açıklamaya çalışacağız.


    Sunucu Konumlarının Değişim İhtiyacı

    Genişleyen iç ağlar; iç ağda IP trafiği olan donanımların kamera, telefon, terminal vb. cihazların artması, mobil / tablet / taşınabilir uç noktaların artması, farklı işletim sistemlerindeki artış vb. sistemsel çeşitlilikteki artışların bir sonucu olarak iç ağ trafiğinde ve risklerinde de artış doğurmuştur.

    Geçmiş dönemlerde ağ topolojilerinde sistemlerin tamamı iç ağda barındırılmaktayken, son dönemlerde ise sunucular, servisler ve uygulamalarda kullanıma bağlı artan ihtiyaçları dolayısıyla topolojiler de şekil değiştirmeye başlamıştı.

    İç ağdaki yükü hafifletmesinin yanı sıra, sistemlerin sağlıklı çalışması için ihtiyaç duyulan daha uygun altyapı, düşük maliyet, ortam performansı, bakım ve müdahale desteği gibi çeşitli gereksinimlerden ötürü uzunca bir zamandır "Veri Merkezi" (Data Center - DC) ortamlarına taşınıldığını ve halen taşınmaların devam ettiğini gözlemlemekteyiz.

    DC ortamına taşınan sistemler, kurumun tüm kullanıcılarına yönelik erişim sunarken; hem kurum içi ağdan erişen kullanıcıların, hem de kurum ağı dışından erişen kullanıcıların bulunması ile sabit kuralların değişmesi, dinamik değişen kurallar ile yönetimler gerekti. Kurum lokasyonunun dışında durmasına karşın, kurum ağının uzantısı olduğundan ve değişik ihtiyaçlarından ötürü, yine kurumca yakından takip edilmesi ve yönetilmesi gereken bir konu olmasına yol açtı.

    Pek çok DC'nin, barındırılan sistemlerin yönetimi için yönetim yazılımları ve/veya yönetim destekleri, uyguladıkları belirli erişim kural setleri olsa da, bunlar ile kurumların dinamik veya kuruma göre farklılaşan ihtiyaçlarını karşılamaları, anlık çözümler getirmeleri pek mümkün olamamaktadır.

    Sunucu, servis ve uygulamalara, sadece belirlenmiş kurumsal iç ağdan erişim ihtiyacının dışına çıkılmış olması, birden çok, farklı farklı ağ alanlarından; 

    • kurum iç ağından doğrudan erişim
    • VPN üzerinden İnternet'ten kuruma ağına dahil olarak erişim 
    • İnternet üzerinden herhangi bir uç noktadan direkt erişim

    şeklinde erişimlerin olması, kontrolü ve sınırlandırılması daha zor, dağınık bir erişim yönetimi tablosunu ortaya çıkardı.


    Dağınık Erişim Konumlarında Yönetim İhtiyacı

    Tam olarak da bu noktada, çalışmaların daha dağınık yapılarda yürütülmesi, ZTNA yaklaşımını beraberinde getirdi.


    Kurumların diğer kurumlar ile olan dijital çalışma ihtiyaçlarındaki artış; sunucuların, servislerin, uygulamaların kurum tedarikçilerinin, bayilerinin ve müşterilerinin kullanımına açılmasını kaçınılamaz hale getiriyor.

    Sistemler büyük çoğunlukla IT yöneticisi tarafından kuruma özgün politikalar ile, kullanım ihtiyaçlarına göre değişken şekilde en başarılı halde yönetilmekteler.

    Dağınık alanlarda ve kurumlarda kullanıcı erişiminin olması, farklı kurumlarda farklı kalitede politikaların yürütülmesi, esnek erişim ihtiyaçları, neredeyse tüm İnternet üzerinden erişilebilir halde hizmet verilmesi anlamına gelmeye başlasa da, tam olarak bu aşamada ZTNA devreye giriyor ve bu çözüm sayesinde artık kontrolsüz, sınırsız erişim olmadan da güvenli erişim ve yönetim sağlanabiliyor.


    ZTNA çözümü, konumlandırılan ağa olan tüm erişimleri yönetir, ağ alanına kontrollü erişim sağlar.

    ZTNA, ağdaki cihazların; sunucu ve/veya servislerin keşif edilmesini kontrol eder ve engeller, böylelikle sadece sistem yöneticisinin belirlediği erişim izin koşulları sağlandığında bu sistemlere erişilebilir ve kullanıcı tarafından görülebilir hale gelir.



    Keskin sınırlamaların uygulanmasından, çok esnek erişim uygulanması durumlarına kadarki tüm yönetim düzeylerinde ZTNA çözümleri hem bir yönetici çözüm, hem de riski azaltıcı faktör olarak destek veriyor.

    Erişimin hangi kurallar ile gerçekleştirilebileceği, hangi servisin hangi kullanıcıya, hangi zaman diliminde hizmet vereceği vb. esnetilebilen, seçilebilen, kullanıcıya, servise göre çeşitli kombinasyonlarla belirlenebilen yönetim politikaları, ilgili sunucu, uygulama, servis'e erişimden önce kullanıcı doğrulaması gereksinimi ile de bütünleşince, ZTNA çözümleri tüm İnternet'e açık kalan sistemleri eskisinden de güvenli hale getirdi.


    YENİ ZTNA ÇÖZÜMÜMÜZ: TINA ISOLATOR

    TINA ISOLATOR® (https://www.tinasecurity.com/tr/isolator-tr/) 

    TINA teknolojilerimizin en son ürünü olarak tarafımızca geliştirilen bir ZTNA çözümüdür. 2022 yılı içerisinde kullanıma sunduğumuz bu çözümümüz ile ilgili PoC (Proof of Concept) imkanı sunarak, satın alma öncesinde net fayda ve performansın gözlemlenmesini sağlayabilmekteyiz.


    Dene ve Al Stratejisini Öneriyoruz

    Geliştirdiğimiz ürünler kendi ARGE çalışmalarımızın sonucu ve özgün teknolojik çözümler olmasından ötürü, pek çok yeni tanıştığımız müşterimize faydayı yakından gözlemlemeye çağırıyor; deneyimleme ihtiyacını ücretsiz olarak, gerçek sistem özelliklerimiz ile ve gerçek ağ konumları üzerindeki DEMO çalışmalar ile başarıyla gerçekleştiriyoruz.


    TINA ISOLATOR hakkında detaylı bilgi, sunum veya demo talepleri için;

    Bize bu numaradan ulaşabilirsiniz: 0216 450 25 94 

    E-posta ile: [email protected]

    Online Tanıtım randevunuzu buradan da başlatabilirsiniz.

    23 Şubat 2023

    Siber Güvenlik Bülteni - Ocak 2023

     

    Bültenimizin Ocak Ayı konu başlıkları; 
      • Ransomware, VMware ESXi Sunucularını Vuruyor
      • Fortinet Kullanan Kamu Kurumları Dikkat!
      • Yandex Kaynak Kodları Sızdırıldı
      • F5 BIG-IP Cihazlarında Yüksek Zafiyet

      Ransomware VMware ESXi Vuruyor

      Fransız Siber Olaylara Müdahele Ekibi (CERT-FR), saldırganların fidye yazılımı saldırıları için VMware ESXi sunucularını hedeflediği konusunda uyarıda bulundu. CERT-FR, saldırganların bu saldırıda CVE-2021-21974 referanslı güvenlik açığını kullandığını bildirdi.

      Bu zafiyet; OpenSLP'de bulunan yığın taşması (heap-overflow) zafiyeti içermektedir. ESXi ile aynı ağda bulunan ve 427 numaralı porta erişimi olan saldırgan bu zafiyeti tetikleyerek uzaktan kod yürütümesine olanak sağlayabilir.

      Etkilenen Sistemler;
      • ESXi70U1c-17325551'den önceki ESXi 7.x versiyonları 
      • ESXi670-202102401-SG'den önceki ESXi 6.7.x versiyonları
      • ESXi650-202102101-SG'den önceki ESXi 6.5.x versiyonları

      Yapılacaklar;
      • Sunucudaki OpenSLP hizmetini devre dışı bırakmak veya yalnızca güvenilir IP adreslerine erişim izni vermek (https://kb.vmware.com/s/article/76372)
      • ESXi versiyonunu en son sürüme güncellemek
      • Verileri erişilemez şekilde yedeklemek
      • Güvenilir IP adreslerine gerekli servislerin ACL ile filtrelemek
      • Anomali davranışlarını takip etmek

      Fortinet Kullanan Kamu Kurumları Dikkat!

      Fortinet araştırmacıları, saldırganların yakında zamanda yamalanan FortiOS SSL-VPN (CVE-2022-42475) zafiyetini kullanarak kamu kurumlarına siber saldırı yaptığını belirtti. Bu zafiyet, yığın taşmasına sebep olarak uzaktan kod çalıştırmaya olanak sağlamaktadır.

      Zafiyet FortiOS 7.2.3'ün yayınlaması ile kapatıldı, fakat henüz güncelleme yapılmamış çok sayıda sistem de mevcut.

      Belirtilen zafiyetin daha önce de Dark Web üzerinden dağıtılarak, hedef ağlar üzerinde izinsiz erişim için kullanıldığı bilinmektedir. Zararlı yazılım ile aynı zamanda; tespitlerden kaçınmak için günlük kayıtlarını silme, engelleme, manipüle ve gerçekleştirilen işlemlere veri enjekte edebilmektedir.
       

      Yandex Kaynak Kodları Sızdırıldı

      Yandex kaynak kodları illegal bir forum sitesinde paylaşıldı. Paylaşılan verilerin Temmuz 2022'de ele geçirildiği ve 44.7 GB olduğu bilgisi paylaşıldı. Yandex herhangi bir hacklenme vakası olmadığını, eski bir çalışanın verileri sızdırdığını iddia etti.

      Kodları Sızdırılan Yandex Ürünleri;

      Yandex Arama Motoru ve İndeksleme Botu
      Yandex Haritalar
      Alice
      Yandex Taxi
      Yandex Direct
      Yandex Mail
      Yandex Disk
      Yandex Market
      Yandex Travel
      Yandex360
      Yandex Bulut
      Yandex Pay
      Yandex Metrika

      Yandex kodların ana kodlar ile uyum sağlamadığını dile getirsede farklı güvenlik ve yazılım uzmanları büyük benzerlik olabileceğini ve bu kodlar sayesinde yeni zafiyetlerin keşfedilebileceğini dile getirdi.

      F5 BIG-IP Cihazlarında Yüksek Zafiyet

      Kurumsal güvenlik uzmanı ve ağ ürünleri şirketi olan F5 ürünleri üzerinde yüksek zafiyet tespit edildi. F5 BIG-IP cihazlarını etkileyen yüksek dereceli zafiyetler DoS saldırısına ve uzaktan kod yürütmeye olanak sağlamakta.

      iControl SOAP arayüzünden kaynaklanan zafiyet, saldırganın iControl SOAP CGI sürecinin etkilenmesine ve uzaktan rastgele kod yürütmeye olanak sağlamaktadır. Zafiyet CVE-2023-22374 kodu ile takip edilebilir.

      Geçici bir çözüm olarak şirket; kullanıcıların iControl SOAP API'ye erişimi yalnızca güvenilen kullanıcıların erişimine kısıtlamasını önerdi.

      Etkilenen BIG-IP Sürümleri

      13.1.5
      14.1.4.6 - 14.1.5
      15.1.5.1 - 15.1.8
      16.1.2.2 - 16.1.3 ve
      17.0.0

      02 Kasım 2022

      Siber Güvenlik Bülteni - Ekim 2022

       

      Bültenimizin Ekim ayı konu başlıkları; 

        • Parlamentoya Siber Saldırı
        • 1 Milyon Chrome Kullanıcısı Risk Altında
        • Binance'da Büyük Vurgun
        • 65.000 Şirket Yanlış Yapılandırma Kurbanı

        Parlamentoya Siber Saldırı

        Geçtiğimiz günlerde yine herkesi şaşırtmaya devam eden siber saldırılardan biri gerçekleşti. Rusya - Ukrayna savaşı devam ederken, paralelinde siber savaş devam ediyor. 

        Büyük bir siber saldırı Slovakya ve Polonya parlamentosunu vurdu. Siber saldırı sonucunda parlamento bilişim sistemleri ve telefon hatları ulaşılamaz hale geldi. Bu saldırının gerçekleştiği esnada yapılmak üzere olan yasa tasarısı oylaması oturumuna ara verilmek durumunda kalındı.

        Saldırının arkasında Rusya olduğu iddia edilirken, oylama sistemine yapılan saldırı ile oylamada manipülasyonun da etkili olabileceği üzerine hızlı bir araştırma başlatıldı. 

        Dünya üzerinde çevrimiçi oylama talepleri her geçen gün artarken, bu tür saldırılar seçim güvenliği açısından birçok kişiyi de tedirgin etmeye devam etmektedir.

        1 milyon Chrome Kullanıcısı Risk Altında

        Web tarayıcılar, siber dünyaya açılan ilk kapımız olarak kullanım ihtiyacına hizmet etmeye devam ediyor. Her geçtiğimiz yıl insanların gizlilik ve güvenilirlik ilkesine olan ihtiyaçları yeni ve çeşitli web tarayıcılarının hayatımıza girmesine olanak sağlıyor. 200'ün üzerinde web tarayıcı bulunmaktadır.

        Bu web tarayıcılarda özelleştirme ihtiyaçlarınıza istinaden eklentiler kurulabilir hale gelmiştir ve eklentiler dışarıdan da geliştirilebilmektedir.

        Renk özelleştirme seçeneği sunan 1 milyon yüklemeye ulaşmış 30 tarayıcı eklentisinin zararlı reklam kampanyasına hizmet ettiği ortaya çıktı. Bu zararlı reklam kampanyasına "Dormant Colors" ismi verildi.

        Şimdiye kadar zararlının çalışma şekli; kurbanın arama sonuçlarını toplayıp, farklı alanlara reklam ile yönlendirerek trafiğinin satışını sağlamaktır. Fakat web tarayıcıya yerleştiği an itibariyle kurbanın banka bilgileri, sosyal medya hesapları, Google Workspace, Microsoft 365 gibi sık kullandığı kritik uygulama bilgilerini de çalmak için kimlik avı sayfalarına yönlendirerek sosyal mühendislik yöntemi ile ele geçirilebileceğini de unutmamak gerekiyor.

        Binance'da Büyük Vurgun

        Dünyanın en büyük kripto para borsası Binance, siber korsanlar tarafından 566 milyon dolar çalındığı iddia edildi. Varlıkların bağımsız blok zincirinden diğerine transferini kolaylaştırmak için tasarlanan BNB Zinciri ve Binance Akıllı Zinciri olarak da bilinen Binance blok zinciri, BSC Token Hub çapraz zincir köprüsünü etkileyen bir zafiyet keşfedildi. Bu keşif sonrası Bİnance işlemleri ve fon transferlerini askıya aldı.

        BSC Token Hub köprüsündeki zafiyetten faydalanan siber korsanlar sahte mesaj oluşturmasına ve yeni BNB jetonları basmasına olanak sağladı. Yaklaşık 2 milyon BNB aktarmaya çalışan siber korsanlar, Binance'ın işlemlerinin durdurulmasının akabinde 110 milyon doları başarılı olarak aktarırken geri kalan 430 milyon dolar paranın ise aktarımının engellendiği duyuruldu.

        Daha önce de benzer metotlar ile birçok kez farklı borsalardan vurgun yapıldı. Şimdiye kadar kripto para borsalarından yaklaşık 2 milyar dolarlık kripto para çalındı.

        65.000 Şirket Yanlış Yapılandırma Kurbanı

        Herhangi bir ürünün kullanımı konusunda sağlanan fayda kurum çalışanlarının ürün hakkındaki yetkinliği veya destek alınan entegratörün yetkinliği düzeyinde olmaktadır. Birçok güvenlik odaklı üründe bile, savunma amaçlı konumlandırılan ürünlerin yanlış yapılandırılması sonucunda kurumu korumak yerine, saldırı hedefi haline getirmektedir.

        Microsoft, yanlış yapılandırma sonucu 65.000 şirketin verilerinin açığa çıktığını doğruladı. SOCRadar bu veriler arasında faturalar, müşteri bilgileri, ürün sipariş bilgileri, müşteri sözleşmeleri gibi kritik verilerinde bulunduğu yaklaşık 2,4 TB bir verinin açığa çıktığını belirtti. Konuyla alakalı olarak tespit edilen müşterilere bilgilendirme yapıldı. Henüz herhangi bir saldırı girişimi tespit edilmedi, fakat bu tür verilerin gizli şekilde satıldığı bilinmektedir, ayrıca bu veriler ile önümüzdeki dönemlerde kurumlara ciddi bir saldırı planı çıkartacağını da unutmamak gerekmektedir.

        Kurumların bulut sistemlere geçişlerinde, tedarikçi firmanın sadece alan verdiğini, güvenlik, yapılandırma ve süreç yönetimi konularının satın alan kuruma ait olduğu unutulmamalıdır. Bu yanlış algılar sonucunda birçok kurum buluta geçiş ile birlikte güvenliğin tamamen tedarikçi tarafından karşılanacağı yanılgısı birçok kez verilerin açığa çıkmasına sebebiyet vermiştir.

        07 Ekim 2022

        Siber Güvenlik Bülteni - Eylül 2022

         

        Bültenimizin Eylül ayı konu başlıkları; 
          • Microsoft Exchange Zafiyetleri İstismar Edildi
          • LastPass Ağında 4 Gün
          • Uber'de Güvenlik İhlali
          • Cisco'da Fidye Yazılımı Krizi

          Microsoft Exchange Zafiyetleri İstismar Edildi

          Microsoft, Exchange Server 2013, 2016 ve 2019 versiyonlarında, yakın zamanda ortaya çıkan iki farklı sıfır gün (zero-day) güvenlik açığının istismar edildiğini doğruladı.

          CVE-2022-41040 (SSRF) ve CVE-2022-41082 (RCE) zafiyetleri ile ilgili (yazımız hazırlanırken henüz bir yama yayınlanmamış idi) gelişmeleri aşağıdaki linkler üzerinden takip edebilirsiniz.

          https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
          https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

          Microsoft, Exchange müşterilerinin "URL Rewrite Instructions" konusunun incelenmesini ve uygulanmasını, açık olan Uzak PowerShell portlarının ise engellenmesini öneriyor.

          Bilinen Saldırı Metotlarını Engelleme için ise; IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions bölümüne engelleme kuralı eklenmesi gerekmekte.


          Güvenlik Açığı Bulunan Sunucularda;

          1. IIS Manager açın
          2. Default Web Site'ı genişletin
          3. Autodiscover seçin
          4. Feature View menüsünde URL Rewrite'ı tıklayın
          5. Sağ taraftaki Action bölmesinde, Add Rules'ı tıklayın
          6. Request Blocking'i seçin ve tamam'a tıklayın
          7. String olarak .*autodiscover\.json.*\@.*Powershell.*” ekleyin ve tamam'a tıklayın.
          8. Kuralları genişletin ve ".*autodiscover\.json.*\@.*Powershell.*" kuralını seçin ve Edit under Conditions'a tıklayın.
          9. {URL} olan koşul girişini {REQUEST_URI} ile değiştirin.


          Uzaktan PowerShell erişimini engellemek için ise HTTP: 5985 HTTPS: 5986 portlarını engelleyin.


          Exchange sunucularınızın ihlalinin kontrol etmek için IIS günlük dosyalarında tarama için aşağıdaki PowerShell komutunu çalıştırabilirsiniz.

          Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

          LastPass Ağında 4 Gün

          LastPass, Ağustos ayında yaşadığı güvenlik ihlalinde saldırganların tespit edilip, sistemden temizlenene kadar yaklaşık 4 gün ağda kaldıklarını açıkladı.

          Geçtiğimiz aylarda LastPass, sistemlerine izinsiz erişim olduğunu tespit ettiğini açıkladı, saldırganların müşteri verilerine veya şifreli parola kasalarına erişimine dairse herhangi bir kanıt olmadığını açıkladı. Ayrıca bu saldırıda saldırganların geliştirme ortamına girdiği de belirtildi.

          Yapılan araştırmalardan, saldırganın LastPass yazılım geliştiricisinin hesabını ele geçirmesi yoluyla geliştirme ortamına ağ erişimi sağladığı tespit edildi. Bu erişim sonucunda kaynak kodun bir kısmının ve bazı özel teknik bilgilerin de sızdırıldığı düşünülüyor.

          LastPass'in dünya çapında 30 milyondan fazla kullanıcısı bulunuyor. LastPass kullanıcılarının -henüz devrede değil ise- 2 adımlı doğrulamayı mutlaka devreye almasını öneriyoruz.

          Kullanıcıların bu türde bir saldırıda alabileceği en etkili önlem 2 adımlı doğrulama sistemini kullanmaktır. Kullanıcıların bu veya benzeri tüm üye olunarak kullandıkları servislerde -eğer varsa- 2 adımlı doğrulamayı mutlaka devreye almasını önermekteyiz.

          Uber'de Güvenlik İhlali

          Dünyanın en büyük taksi servisi Uber tekrar hacklendi. 2016 yılında hacklenen ve bunu gizleyen ve hackerlara bunun için ödeme yapan Uber yeni bir saldırı ile karşı karşıya kaldı.

          Bu tür saldırıları gizlemesi ile bilinen Uber, bu seferki saldırının açığa çıkmasıyla bir açıklama yaparak tekrar sessizliğe büründü.

          Uber çalışanlarından olan bir kişiye yapılan sosyal mühendislik saldırısı ile erişim bilgilerine ulaşıldı ve yetki sağlandı. Bu yetki ile izinsiz şekilde şirkete ait Slack kanallarına, yedeklenmiş dosyalara, müşteri kayıtlarına, Amazon Web Servislerine erişim bilgilerine, şirket sistemlerine ait zafiyet raporları gibi oldukça kritik bilgilere erişildi.

          Bu bilgilerin sosyal medya üzerinde bir hesap tarafından ekran görüntüleri ile paylaşılmasından sonra da Uber saldırıyı doğruladı.

          ---
          Firmalarda personelin, bayilerin veya tedarikçilerin kullanımına özgü olan, halkın geneline açık olmayan sunuculara daha güvenli erişim sağlanabilmesi, bu tip saldırılara karşı ek bir güvenlik katmanı olarak koruma sağlaması amacıyla geliştirdiğimiz son ürünümüz TINA Güvenlik Katmanı hakkında bilgi almak ve İnternet üzerinden gelebilecek olan saldırılara karşı mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşabilmemiz için ONLINE TANITIM talebini buradan başlatabilirsiniz.

          Cisco'da Fidye Yazılımı Krizi

          Ağustos ayında Cisco bir güvenlik ihlali açıkladı, Yanluowang fidye yazılımı çetesi Mayıs sonunda şirket ağını ihlal ederek, şirket sunucularından birçok veriyi sızdırdı.

          Cisco güvenlik ekipleri yaptıkları inceleme sonucunda şirket çalışanlarından bir kişinin kişisel hesabına erişim sağlanması sonucunda, 2 adımlı doğrulamanın da sosyal mühendislik ile atlatması yoluyla saldırgan grubun şirket hesaplarına da erişim sağladığını belirtti.

          Kullanıcının VPN hesabı ile firma ağına sızan saldırgan grup, LogMeIn, TeamViewer, Cobalt Strike, PowerSploit, Mimikatz ve İmpacket gibi araçlar ile de ağa erişimini güçlendirdi.

          Saldırgan grup, gizli belgeler, teknik şemalar ve kaynak kodu içeren 55 GB'lik dosya sızdırdığını iddia etmekte, ancak Cisco bunu reddederek  çalınan verilerin hassas bilgiler içermediğini ve güvenlik ihlalinin işletme üzerinde hiçbir etkisi olmadığını belirtti.

          Siber Saldırılara Karşı
          TINA Çözümlerimiz

          En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebini buradan başlatabilirsiniz.

          Popüler Yayınlar