29 Şubat 2024

Siber Güvenlik Bülteni - Şubat 2024

 

Bültenimizin Şubat Ayı konu başlıkları; 
    • Fortinet Kritik Zafiyetler
    • QNAP Sıfırıncı Gün Zafiyeti
    • AnyDesk Hacklendi
    • Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Fortinet Kritik Zafiyetler

    Fortinet, FortiOS ve FortiSIEM zafiyetleri için uyardı.

    Fortinet, FortiSIEM'de bulunan ve uzaktan saldırganların keyfi kod çalıştırmasına izin verebilecek iki kritik işletim sistemi komut enjeksiyonu açığına dikkat çekiyor.

    Fortinet'in yayınladığı bir bildirime göre, CVE-2024-23108 ve CVE-2024-23109 (CVSS puanı 10) olarak izlenen bu iki kritik açık, uzaktan kod yürütme riski taşıyor.

    Etkilenen ürünler;
    FortiSIEM sürüm 7.1.0 ile 7.1.1 arası
    FortiSIEM sürüm 7.0.0 ile 7.0.2 arası
    FortiSIEM sürüm 6.7.0 ile 6.7.8 arası
    FortiSIEM sürüm 6.6.0 ile 6.6.3 arası
    FortiSIEM sürüm 6.5.0 ile 6.5.2 arası
    FortiSIEM sürüm 6.4.0 ile 6.4.2 arası

    Düzeltilmiş Sürümler;
    FortiSIEM sürüm 7.1.3 veya üstü
    FortiSIEM sürüm 7.0.3 veya üstü
    FortiSIEM sürüm 6.7.9 veya üstü
    Gelecek FortiSIEM sürüm 7.2.0 veya üstü
    Gelecek FortiSIEM sürüm 6.6.5 veya üstü
    Gelecek FortiSIEM sürüm 6.5.3 veya üstü
    Gelecek FortiSIEM sürüm 6.4.4 veya üstü

    Söz konusu açıkların istismar edilmesi durumunda, uzaktan kimlik doğrulama gerektirmeyen bir saldırganın sistemde komut çalıştırmasına izin verilebilir. Mümkün olan en kısa sürede güncelleme yapılması önerilir.

    İki sorun, Ekim 2023'te ele alınan CVE-2023-34992 (CVSS puanı 9.8) adlı bir güvenlik açığı ile ilişkilendirilmiştir.

    CVE-2023-34992 açığı, Fortinet FortiSIEM sürüm 7.0.0 ve 6.7.0 ile 6.7.5 arası ve 6.6.0 ile 6.6.3 arası ve 6.5.0 ile 6.5.1 arası ve 6.4.0 ile 6.4.2 arası sürümlerinde bulunan bir işletim sistemi komut enjeksiyonu (‘os komut enjeksiyonu’) hatasıdır. Saldırgan, bu hatayı kullanarak özel olarak oluşturulan API istekleri aracılığıyla yetkisiz kod veya komutları yürütebilir.

    Fortinet, FortiOS SSL VPN'de yeni bir kritik uzaktan kod yürütme açığının saldırılarda potansiyel olarak kullanıldığı konusunda uyarıyor.

    Bu açık CVE-2024-21762 9.6 ciddiyet derecesine sahiptir ve FortiOS'ta bir sınır dışı yazma güvenlik açığıdır. Bu açık, kimlik doğrulaması yapılmamış saldırganların kötü niyetli olarak oluşturulmuş istekler aracılığıyla uzaktan kod yürütmesine (RCE) izin verir.

    Bu hatayı düzeltmek için, Fortinet en son sürümlerden birine yükseltmeyi önermektedir:

    Etkilenen ürünler;:
    FortiOS sürüm 7.4.0 ile 7.4.2 arası
    FortiOS sürüm 7.2.0 ile 7.2.6 arası
    FortiOS sürüm 7.0.0 ile 7.0.13 arası
    FortiOS sürüm 6.4.0 ile 6.4.14 arası
    FortiOS sürüm 6.2.0 ile 6.2.15 arası
    FortiOS sürüm 6.0 tüm sürümler


    Düzeltilmiş Sürümler;
    FortiOS sürüm 7.4.3 veya üstü
    FortiOS sürüm 7.2.7 veya üstü
    FortiOS sürüm 7.0.14 veya üstü
    FortiOS sürüm 6.4.15 veya üstü
    FortiOS sürüm 6.2.16 veya üstü

    Güncellemeleri uygulayamayanlar için, Fortinet, FortiOS cihazlarınızda SSL VPN'yi devre dışı bırakarak bu hatayı hafifletebileceğinizi belirtiyor.

    Fortinet'in bildirimi, açığın nasıl istismar edildiği veya açığı kimin keşfettiği konusunda herhangi bir ayrıntı sağlamıyor.

    Bu güvenlik açığı, bugün CVE-2024-23113 (Kritik/9.8 derecelendirme), CVE-2023-44487 (Orta), ve CVE-2023-47537 (Orta) ile birlikte duyuruldu. Ancak, bu hataların henüz sahada istismar edilmediği belirtiliyor.

    Siber tehdit aktörleri genellikle Fortinet hatalarını hedef alarak kurumsal ağlara sızıyor ve fidye yazılımı saldırıları ve siber casusluk faaliyetleri gerçekleştiriyor.

    Dün, Fortinet, Çin devlet destekli tehdit aktörlerinin FortiOS açıklarını hedef alarak COATHANGER olarak bilinen özel kötü amaçlı yazılımı dağıtmak için saldırılarını gerçekleştirdiğini açıkladı.

    Bu kötü amaçlı yazılım, Fortigate ağ güvenlik cihazlarını enfekte etmek için tasarlanmış özel bir uzaktan erişim truva atı (RAT) ve son zamanlarda Hollanda Savunma Bakanlığı'na yönelik saldırılarda kullanıldığı tespit edildi.

    Yeni açıklanan CVE-2024-21762 hatasının yüksek ciddiyeti ve saldırılarda kullanılma olasılığı göz önüne alındığında, cihazlarınızı mümkün olan en kısa sürede güncellemeniz kesinlikle önerilir.

    Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    QNAP Sıfırıncı Gün Zafiyeti

    Geçen hafta, QNAP, QTS, QuTS hero ve QuTScloud ürünlerindeki çeşitli güvenlik açıklarının düzeltildiği bir güvenlik bülteni yayınladı.

    Bu açıklar, CVE-2023-47218 ve CVE-2023-50358 olarak atandı. Bu açıkların ciddiyeti 5.8 (Orta) olarak belirtildi. Ancak, toplamda 289.665 savunmasız cihazın, tehdit aktörleri tarafından potansiyel olarak istismar edilebilir olduğu keşfedildi.

    Bu cihazlar çoğunlukla Almanya, ABD, Çin, İtalya, Japonya, Tayvan, Fransa ve birkaç diğer ülkede bulunuyordu.

    QNAP 0-Gün açığı kimlik doğrulaması gerektirmeyen QNAP QTS firmware'inin quick.cgi bileşeninde bulunan bir komut enjeksiyonu ile ilişkilendirilmiştir.
    quick.cgi istek işleyicisi, HTTP parametresi todo=set_timeinfo ayarlandığında, SPECIFIC_SERVER parametresinin değerini /tmp/quick/quick_tmp.conf adlı yapılandırma dosyasına NTP Adresi adı altında kaydeder.
    Bunun ardından, quick.cgi bileşeni, komut satırı yürütmesinin gerçekleştiği ntpdate yardımcı programı ile zaman senkronizasyonunu başlatır.
    Bu yardımcı program, quick_tmp.conf dosyasındaki NTP Adresini okur ve sonra system() kullanılarak yürütülür.
    Bu, güvensiz bir girişin SPECIFIC_SERVER parametresine sağlanması durumunda, girişin system() aracılığıyla geçirilerek ve yürütülerek, savunmasız cihazda keyfi bir komutun yürütülmesiyle sonuçlanır.

    Korunma Yöntemi
    Bu zafiyetin önlenmesi için, kullanıcılar aşağıdaki adımları izleyebilir:
    • Tarayıcıda şu URL'yi test edin: https://<NAS IP adresi>:<NAS sistem portu>/cgi-bin/quick/quick.cgi
    • Eğer HTTP 404 Hatası alıyorsanız, cihaz savunmasız değildir. Eğer "Sayfa Bulunamadı" veya "Web sunucusu şu anda kullanılabilir değil" mesajını alıyorsanız, cihazda zafiyet olma olasılığı vardır.
    • Eğer HTTP 200 yanıtı ile boş bir sayfa alıyorsanız, aşağıdaki adımlar önerilir:
    İşletim sistemini aşağıdaki sürümlerden birine veya daha yeni bir sürüme güncelleyin:
    QTS 5.0.0.1986 sürümü 20220324 veya daha sonrası
    QTS 4.5.4.2012 sürümü 20220419 veya daha sonrası
    QuTS h5.0.0.1986 sürümü 20220324 veya daha sonrası
    QuTS h4.5.4.1991 sürümü 20220330 veya daha sonrası
    • Tarayıcıda aynı URL'yi yeniden test edin. Eğer sonuç HTTP 404 hatası ise, cihaz güvende demektir.
    • Eğer HTTP 200 yanıtı hala devam ediyorsa, QNAP teknik desteği ile iletişime geçilmesi tavsiye edilir.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    AnyDesk Hacklendi

    AnyDesk, uzak masaüstü erişim yazılımı geliştirici Alman şirketi, üretim sistemlerinin bir siber saldırıya maruz kaldığını ve bu saldırının şirketin üretim sistemlerini etkilediğini duyurdu.

    Şirket, bir güvenlik denetimi sonrasında keşfedilen bu olayın bir fidye yazılımı saldırısı olmadığını belirtti ve ilgili makamlara bildirimde bulunduğunu açıkladı.

    Şirket "Tüm güvenlikle ilgili sertifikaları iptal ettik ve gerekli durumlarda sistemleri düzelttik veya değiştirdik," açıklamasında bulundu.

    Tedbir amaçlı olarak, AnyDesk tüm web portalı, my.anydesk[.]com, şifrelerini iptal etti ve kullanıcıların, aynı şifreleri başka çevrimiçi hizmetlerde kullanmışlarsa şifrelerini değiştirmelerini tavsiye etti.

    Ayrıca, kullanıcıların en son yazılım sürümünü indirmelerini önerdi ve bu sürüm yeni bir kod imzalama sertifikasıyla birlikte geliyor.

    AnyDesk, üretim sistemlerinin ne zaman ve nasıl ihlal edildiğini açıklamadı. Şu anda, hacklemenin ardından herhangi bir bilginin çalınıp çalınmadığı bilinmiyor. Ancak, herhangi bir son kullanıcı sisteminin etkilendiğine dair bir kanıt olmadığını vurguladı.

    AnyDesk, Amedes, AutoForm Engineering, LG Electronics, Samsung Electronics, Spidercam ve Thales dahil olmak üzere 170.000'den fazla müşteriye sahip olduğunu iddia ediyor.

    AnyDesk müşteri bilgileri bazı platformlarda satılmaya başlandı ve tehdit aktörünün 18.317 hesabı 15.000 dolarlık kripto para birimi karşılığında satışa çıkardığını ve bir anlaşmayı siber suç forumunda kabul ettiğini söyledi.

    Özellikle, aktör tarafından paylaşılan ekran görüntülerindeki zaman damgaları, 3 Şubat 2024 tarihli başarılı izinsiz erişimi göstermektedir ve müşterilerin tümünün erişim kimlik bilgilerini değiştirmemiş olabileceği veya etkilenen tarafların bu mekanizmanın hala devam ediyor olabileceğini de unutmamak gerekiyor.

    AnyDesk, siber saldırı sonrası tüm araç sürümlerinin güvenli olduğunu ve müşterilere sürüm 7.0.15 ve 8.0.8'i indirmelerini önerdiğini belirtti.

    Şirketin yayınladığı ayrı bir SSS bölümüne göre, olayın Ocak 2024'ün ortalarında meydana geldiği ve şirketin bu olayı takiben bir güvenlik denetimi yaptığı, sonuç olarak üretim sistemlerinin tehlikede olduğuna dair kanıtlar bulduğu ifade edildi.

    Ayrıca, kaynak koduna herhangi bir kötü niyetli değişiklik yapıldığını veya müşterilere herhangi bir AnyDesk sistemi aracılığıyla kötü amaçlı kod dağıtıldığını görmediklerini vurguladı.

    AnyDesk, kullanıcı kimlik bilgilerinin karanlık web üzerinde satılmasına dair raporların doğrudan olayla ilgili olmadığını zararlı yazılımlarla enfekte olmuş kullanıcı bilgileri olabileceğini belirtti.

    Mercedes-Benz Kaynak Kodu Açığa Çıkarıldı

    Mercedes-Benz'in iç GitHub Enterprise Servisi'ne sınırsız erişim sağlayan bir GitHub belirteci yanlış yönetildi ve şirketin kaynak kodunu kamuya açık hale getirdi.

    Mercedes-Benz, yenilik, lüks tasarımlar ve üstün yapı kalitesi ile tanınan prestijli bir Alman otomobil, otobüs ve kamyon üreticisidir.

    Marka, güvenlik ve kontrol sistemleri, bilgi eğlence, otonom sürüş, teşhis ve bakım araçları, bağlantı ve telematik, elektrikli güç ve batarya yönetimi (Evler için) gibi araçlarında ve hizmetlerinde yazılım kullanmaktadır.

    2023 yılının 29 Eylül'ünde araştırmacılar, bir Mercedes çalışanına ait kamuya açık bir depoda bulunan bir GitHub belirtecini keşfetti ve bu belirtecin şirketin iç GitHub Enterprise Sunucusuna erişim sağladığını belirtti.

    Bu olay hassas depoların ortaya çıkmasına ve bu depolarda veritabanı bağlantı dizeleri, bulut erişim anahtarları, şematikler, tasarım belgeleri, SSO parolaları, API anahtarları ve diğer kritik iç bilgilerin bulunması nedeniyle ciddi sonuçlara yol açtı.

    Araştırmacıların açıkladıkları gibi, bu verilerin kamuoyuna açık hale gelmesinin sonuçları ciddi olabilir. Kaynak kodu sızıntıları, rakiplerin tescilli teknolojileri tersine mühendislik yapmasına veya hackerların araç sistemlerinde potansiyel zayıflıkları aramasına neden olabilir. Ayrıca, API anahtarlarının ortaya çıkması, yetkisiz veri erişimi, hizmet kesintileri ve şirket altyapısının kötü amaçlar için kötüye kullanılmasıyla sonuçlanabilir.

    Araştırmacılar, Mercedes-Benz'e belirteç sızıntısını 22 Ocak 2024'te bildirdi ve iki gün sonra bunu iptal etti, bu da bu belirtece sahip olan ve kötüye kullanan kişilere erişimi engelledi.

    Bu olay, Japon otomobil üreticisi Toyota'nın Ekim 2022'de yaşadığı bir güvenlik hatasına benziyor. Toyota, bir GitHub erişim anahtarının açığa çıkmasından dolayı kişisel müşteri bilgilerinin beş yıl boyunca kamuya açık kalmasını açıklamıştı.

    Bu tür olaylar, GitHub Enterprise örneklerinin sahiplerinin genellikle IP adreslerini içeren denetim günlüklerini etkinleştirmeleri durumunda, kötü amaçlı kullanım kanıtlarını oluşturur.

    Mercedes-Benz'in konuya ilişkin açıklaması; 

    "Bir insan hatası nedeniyle, iç erişim belirteci içeren bir kaynak kodu kamuya açık bir GitHub deposunda yayınlandı. Bu belirteç, belirli sayıda depoya erişim sağladı, ancak İç GitHub Enterprise Sunucusunda barındırılan tüm kaynak koda erişim sağlamadı. İlgili belirteci iptal ettik ve hemen kamuya açık depoyu kaldırdık. Müşteri verileri etkilenmediğinden güncel analizimiz gösteriyor. Bu durumu normal süreçlerimize göre analiz etmeye devam edeceğiz."

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    29 Ocak 2024

    Siber Güvenlik Bülteni - Ocak 2024

     

    Bültenimizin Ocak Ayı konu başlıkları; 

      • Ivanti Connect Secure Sıfırıncı Gün Zafiyeti
      • GoAnywhere MFT Auth Bypass
      • 2023 Yılının Popüler Siber Saldırıları
      • Tarihin En Büyük Veri Sızıntısı

      Ivanti Connect Secure Sıfırıncı Gün Zafiyeti

      Ivanti, uzaktan saldırganlara hedeflenen ağ geçitlerinde istenilen komutların yürütülmesine izin veren iki Connect Secure (ICS) ve Policy Secure (IPS) zero-day açığını ortaya çıkardı.

      İlk güvenlik açığı (CVE-2023-46805), cihazların web bileşeninde bir kimlik doğrulama atlatma içerir ve saldırganlara kontrol kontrollerini atlayarak sınırlı kaynaklara erişim sağlar. İkinci açık (CVE-2024-21887) ise komut enjeksiyonu zafiyeti içerir ve yetkilendirilmiş yöneticilere özel olarak hazırlanan istekler göndererek savunmasız cihazlarda istenilen komutların yürütülmesine izin verir.

      Bu iki zero-day bir araya getirildiğinde, saldırganlar ICS VPN ve IPS ağ erişim kontrolü (NAC) cihazlarının tüm desteklenen sürümlerinde istenilen komutları çalıştırabilirler.

      Ivanti, "CVE-2024-21887, CVE-2023-46805 ile birlikte kullanılıyorsa, istismar kimlik doğrulamasını gerektirmez ve bir tehdit aktörüne kötü amaçlı istekler oluşturma ve sistem üzerinde istenilen komutları yürütme olanağı tanır" dedi.

      Şirket, yamaların aşamalı bir program dahilinde sunulacağını belirtiyor ve "ilk sürümün müşterilere 22 Ocak haftasında ve son sürümün 19 Şubat haftasında sunulması hedefleniyor" diyor.

      Yamalar kullanılabilir hale gelene kadar, zero-day açıkları, Ivanti'nin indirme portalı üzerinden müşterilere sunulan bir XML dosyasını içe aktararak hafifletilebilir.

      Zero-day'lerin Aralık ayında bir müşterinin ağını ihlal etmek için kullanıldığını tespit eden tehdit istihbarat şirketi Volexity, saldırganın Çin devleti destekli bir tehdit aktörü olduğunu düşünüyor.

      2021 yılında, şüpheli Çin tehdit grupları, bir diğer CVE-2021-22893 olarak takip edilen Connect Secure zero-day'i kullanarak ABD ve Avrupa'daki onlarca hükümet, savunma ve finans kuruluşuna sızmayı başarmıştı.

      Shodan'a göre şu anda çevrimiçi olarak 15.000'in üzerinde Connect Secure ve Policy Secure ağ geçidi bulunmaktadır (güvenlik tehdidi izleme platformu Shadowserver şu anda 17.000'in üzerinde bu tür cihazı izlemektedir).

      Ivanti'nin ürünleri, dünya genelinde 40.000'den fazla şirket tarafından IT varlıklarını ve sistemlerini yönetmek için kullanılmaktadır.

      Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      GoAnywhere MFT Auth Bypass

      Fortra'nın GoAnywhere Managed File Transfer (MFT) yazılımında ortaya çıkan kritik bir güvenlik açığı, yeni bir yönetici kullanıcısı oluşturmak için kötüye kullanılıyor.

      CVE-2024-0204 olarak izlenen bu sorun, 10 üzerinden 9.8'lik bir CVSS puanına sahiptir.

      Fortra, 22 Ocak 2024 tarihinde yayımlanan bir bildiride, "Fortra'nın GoAnywhere MFT'nin 7.4.1 sürümünden önceki sürümlerinde kimlik doğrulama atlatma, yetkisiz bir kullanıcının yönetim portalı üzerinden bir yönetici kullanıcısı oluşturmasına izin verir" dedi.

      7.4.1 sürümüne yükselme imkanı olmayan kullanıcılar, geçici çözümleri non-container dağıtımları için yükleyici dizinindeki InitialAccountSetup.xhtml dosyasını silerek ve hizmetleri yeniden başlatarak uygulayabilirler.

      Container-tabanlı örnekler için ise, dosyanın boş bir dosya ile değiştirilmesi ve yeniden başlatılması önerilir.

      CVE-2024-0204 için bir (PoC) saldırı yayınlanmış olup, sorunun "/InitialAccountSetup.xhtml" uç noktasındaki bir yol geçişi zafiyetinin sonucu olduğunu belirtildi ve bu durumun yönetici kullanıcıları oluşturmak için kötüye kullanılabileceği ifade edildi.

      Uzmanlar, "Analiz edilebilecek en basit tehlike belirtisi, GoAnywhere yönetici portalında Users -> Admin Users bölümünde Admin Users gruplarına yapılan herhangi yeni eklemelerdir" diye belirtiyor.

      Tenable tarafından paylaşılan verilere göre, GoAnywhere MFT varlıklarının %96.4'ü etkilenen bir sürümü kullanırken, %3.6'sı 23 Ocak 2024 tarihi itibarıyla düzeltilmiş bir sürümü kullanmaktadır, bu da birçok örneğin tehlike altında olduğu anlamına gelmektedir.

      CVE-2024-0204'ün henüz gerçek dünyada aktif olarak kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, geçen yıl aynı üründeki başka bir açık (CVE-2023-0669, CVSS puanı: 7.2) Cl0p fidye yazılım grubu tarafından 130'dan fazla kurbanın ağını ihlal etmek için kullanılmıştır.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      2023 Yılının Popüler Siber Saldırıları

      Teknolojideki hızlı gelişmeler, artan bağlantı olanakları ve tehdit aktörlerinin kullandığı karmaşık taktikler nedeniyle siber saldırılar hızla evrim geçiriyor.

      Yapay Zeka (AI) ve Makine Öğrenimi (ML) teknolojilerinin yükselmesi, tehdit aktörlerine şu imkanları sağlar:
      • Yöntemlerini otomatikleştirmek
      • Yöntemlerini geliştirmek
      • Bu sorunsuz devrimler, güvenlik analistlerinin ve çözümlerinin evrimleşen tehditleri tespit etme ve önleme konusunda daha zorlanmasına neden olmaktadır.

      Siber Saldırı Türlerinin Genel Olarak Bilinenleri:
      • Kötü Amaçlı Yazılım (Malware)
      • Kimlik Avı (Phishing)
      • Servis Dışı Bırakma (DoS)
      • Dağıtık Servis Dışı Bırakma (DDoS)
      • Orta Adam Saldırısı (MitM)
      • SQL Enjeksiyonu
      • Cross-Site Scripting (XSS)
      • Zero-Day Saldırıları
      • Gelişmiş Kalıcı Tehditler (APTs)
      • Fidye Yazılımları (Ransomware)
      • IoT (Nesnelerin İnterneti) Sömürüsü
      Bu bağlamda, siber saldırılar ve güvenlik önlemleri konusundaki gelişmeleri takip etmek ve uygun önlemleri almak, her geçen gün daha da önemli hale gelmektedir.

      Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]
       

      Tarihin En Büyük Veri Sızıntısı

      Bu süper kütleli sızıntı, sayısız önceki ihlalin verilerini içeriyor ve şaşırtıcı bir şekilde 26 milyar kaydı kapsayan bilgiyi içeriyor. Bu sızıntı muhtemelen şimdiye kadar keşfedilen en büyük sızıntıdır. Süper kütleli Tüm Sızıntıların Anası (MOAB kısaltmasıyla) binlerce önceden derlenmiş ve yeniden dizilen sızıntı, ihlal ve özel olarak satılan veri tabanlarından kayıtları içeriyor.

      Veri, tehdit aktörleri tarafından kimlik hırsızlığı, karmaşık phishing şemaları, hedeflenmiş siber saldırılar ve kişisel ve hassas hesaplara izinsiz erişim dahil olmak üzere geniş bir saldırı yelpazesinde kullanılabilir. Süper kütleli MOAB'un sadece yeni çalınan verilerden oluştuğu görünmüyor ve muhtemelen çeşitli ihlallerin (COMB) en büyük derlemesi.

      26 milyardan fazla kayıt tespit edildi, ancak çoğu muhtemelen tekrarlı kayıtlardır. Ancak sızan veri, sadece kimlik bilgilerini içermiyor; çoğu açığa çıkan veri hassas ve dolayısıyla kötü niyetli aktörler için değerlidir.

      Veri ağacında hızlı bir gezinti, daha önceki sızıntılardan derlenen şaşırtıcı derecede büyük bir kayıt sayısını ortaya koyuyor. En fazla kayıt sayısı, 1.4 milyarla Çinli anlık mesajlaşma uygulaması Tencent QQ'dan geliyor.

      Ancak Weibo (504M), MySpace (360M), Twitter (281M), Deezer (258M), Linkedin (251M), AdultFriendFinder (220M), Adobe (153M), Canva (143M), VK (101M), Daily Motion (86M), Dropbox (69M), Telegram (41M) ve birçok başka şirket ve kuruluşun sözde yüz milyonlarca kaydı bulunmaktadır.
      Sızıntı, ABD, Brezilya, Almanya, Filipinler, Türkiye ve diğer ülkelerde çeşitli hükümet kuruluşlarının kayıtlarını da içermektedir.

      Süper kütleli MOAB'un tüketici etkisi eşi benzeri görülmemiş olabilir. Birçok insanın kullanıcı adı ve parolaları yeniden kullandığından, kötü niyetli aktörler kimlik bilgisi doldurma saldırılarına girişebilirler.

      Gmail kullanıcıları, Netflix hesapları için de aynı parolaları kullandıkları için, saldırganlar bunu diğer, daha hassas hesaplara yönlendirmek için kullanabilirler. Ayrıca, süper kütleli MOAB'a dahil edilen verileri kullanan kullanıcılar, muhtemelen spear-phishing saldırılarının kurbanı olabilir veya yüksek düzeyde spam e-posta alabilirler.

      Sızıntı tarihin en büyük veri sızıntısı olarak düşünülüyor. 2021 yılında bildirilen 3.2 milyar kayıt içeren sızıntı, 2024 MOAB'nin sadece %12'sine denk gelmektedir.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      29 Aralık 2023

      Siber Güvenlik Bülteni - Aralık 2023

       

      Bültenimizin Aralık Ayı konu başlıkları; 
        • Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler
        • MongoDB'de Veri Sızıntısı
        • İsrail - İran Siber Savaş
        • Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Sophos EOL Güvenlik Duvarlarında Kritik Zafiyetler

        Birleşik Krallık merkezli siber güvenlik firması SophosEOL (Hizmet Dışı) durumuna ulaşan Firewall sürümlerinde sömürülen bir güvenlik açığı için yamalar duyurdu.

        Önemli düzeyde bir zafiyet olan ve CVE-2022-3236 olarak izlenen bu açığın, ürünün 19.0 MR1 (19.0.1) ve daha eski sürümlerini etkilediği belirlendi. İlk olarak Eylül 2022'de düzeltilen bu zafiyet, yalnızca desteklenen Sophos Firewall sürümlerinde düzeltilmişti.

        Sophos, güvenlik zafiyetini Firewall'un Kullanıcı Portalı ve Webadmin bileşenlerinde bir kod enjeksiyonu sorunu olarak tanımlıyor ve saldırganların uzaktan kod yürütme (RCE) elde etmelerine olanak tanıdığını belirtiyor.

        Aralık 2023'te, Sophos Firewall'un bu eski, desteklenmeyen sürümlerindeki bu aynı zafiyetlere karşı yeni saldırı girişimlerini belirledikten sonra, güncellenmiş bir düzeltme sağladığını belirtiyor.

        Eylül 2022'den sonra örneklerini desteklenen bir sürüme güncelleyen organizasyonlar, bu saldırılara karşı korunmuş olup ek önlemler almalarına gerek yoktur.

        Ancak, EOL yazılımı çalıştıran cihazlar, yeni saldırılara karşı savunmasızdır ve Sophos, belirli sürümleri düzeltmek için derhal harekete geçmiştir. Bu yamalar, "hotfix kabul et" seçeneği etkinleştirilmiş olan etkilenen organizasyonların yüzde 99'una "otomatik olarak uygulanmıştır," diye belirtiyor.

        6 Aralık'tan itibaren Sophos, Firewall sürümleri 19.0 GA, MR1 ve MR1-1; 18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4; ve 17.0 MR10 için hotfix'ler yayınlamaya başlamıştır.

        Geçen yıl, Sophos, bu açığın Güney Asya bölgesindeki "belirli birkaç organizmayı" hedef alan saldırılarda kullanıldığını uyararak, ayrıntılarını paylaşmamıştı.

        Eğer sistemlerinizde söz konusu yamaları yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu zafiyete karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        MongoDB'de Veri Sızıntısı

        MongoDB, bu ayın başlarında tespit edilen bir siber saldırıda kurumsal sistemlerinin ihlal edildiğini ve müşteri verilerinin tehlikeye atıldığını bildiriyor.

        MongoDB'den CISO Lena Smart tarafından müşterilere gönderilen e-postalarda, şirketin sistemlerinin Çarşamba akşamı (13 Aralık) hacklendiğini tespit ettikleri ve olayı araştırmaya başladıkları belirtiliyor.

        "MongoDB, belirli MongoDB kurumsal sistemlerine yetkisiz erişimi içeren bir güvenlik olayını araştırıyor," diye belirtilen MongoDB'nin e-postasında şu ifadelere yer veriliyor:

        "Buna müşteri hesabı meta verilerinin ve iletişim bilgilerinin açığa çıkması da dahildir. Şu anda, müşterilerin MongoDB Atlas'ta depoladığı verilerin herhangi bir maruziyeti olduğunu BİLMİYORUZ."

        Şirket, saldırganların MongoDB Atlas'ta depolanan müşteri verilerine erişim sağlamadığına inanıyor. Ancak MongoDB, tehdit aktörlerinin keşfedilmeden önce bir süre boyunca sistemlerine erişim sağladığını belirtiyor.

        Ne yazık ki, genellikle bu tür ihlallerde, tehdit aktörünün uzun süreli erişimi olduğu durumlarda veri hırsızlığı meydana gelir.

        Müşteri meta verileri açığa çıktığından, MongoDB tüm müşterilerine çok faktörlü kimlik doğrulamayı etkinleştirmelerini, şifreleri değiştirmelerini ve potansiyel hedefe yönelik phishing ve sosyal mühendislik saldırılarına karşı dikkatli olmalarını öneriyor.

        Şirket, saldırı ile ilgili güncellemeleri MongoDB Alerts web sayfasında paylaşmaya devam edeceğini belirtiyor. Bu web sayfasını, kesintiler ve diğer olaylarla ilgili güncellemeleri paylaşmak için kullandıklarını ifade ediyorlar.

        Kurumların "0 Güven" (Zero Trust) Mimarisine İhtiyaç Duymasının Başlıca Sebepleri yazımıza buradan ulaşabilirsiniz.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        İsrail - İran Siber Savaş

        Hacktivist grubu Predatory Sparrow, İran genelindeki benzin istasyonlarına yönelik bir siber saldırının arkasında olduklarını iddia ediyor ve bu saldırının işlemleri aksattığını belirtiyor.

        İran'daki benzin istasyonlarının yüzde 60 ila 70'ni etkilendiği bildiriliyor.

        Bu arada, İran'ın petrol istasyonları birliği sözcüsü Reza Navar, devlet haberlerine verdiği demeçte, sorumlu olanın bir yazılım sorunu olduğunu ve bunun çözüldüğünü söyledi. Sürücülere benzin istasyonlarına gitmemelerini tavsiye etti.

        İran Petrol Bakanı Javad Owji, Reuters'a göre dış müdahalenin olası bir neden olduğunu belirtti.

        Predatory Sparrow, "ağ üzerindeki faaliyetimizin küçük bir köşesinin kanıtı" olarak adlandırdığı bir dizi ekran görüntüsü yayınladı. Gönderide, resimlerin yakıt istasyonlarının adlarını, ödeme sistemleri bilgilerini, grup ağ içindeyken çekilmiş fotoğrafları ve yakıt istasyonu yönetim sistemini içerdiği belirtiliyor.

        Pro-İran hacktivist grubu, X (eski adıyla Twitter) üzerindeki mesajlarda siber saldırının kontrollü bir şekilde gerçekleştirildiğini ve potansiyel hasarı sınırlamak için tedbirler alındığını belirtti.

        "Operasyon başlamadan önce ülke genelindeki acil servislere uyarılar yaptık ve aynı nedenle ülke genelindeki bazı benzin istasyonlarını zarar görmemiş bıraktık, erişim ve yeteneklerimize rağmen operasyonlarını tamamen engelleyebilecek durumda olmamıza rağmen" diye açıklama yaptı.

        Predatory Sparrow daha önce, 2021 yılında, ulusal bir akaryakıt pompası ağına bağlı İranlı bir ödeme sistemine yönelik bir siber saldırı gerçekleştirmişti.


        Neden Yapıldı?
        Rachman, saldırının çeşitli nedenlere sahip olabileceğini, İran hükümetine bir uyarı yapma, gelecekte neler yapabileceklerini gösterme amacı taşıdığını öne sürdü. "Ancak saldırının kendi askeri operasyonları veya istihbarat toplama amaçları için bir ulus devleti tarafından gerçekleştirilmiş olma ihtimalini de düşünmeliyiz" dedi.

        Sistemlerinizin İnternet'te saldırganlar tarafından bulunamaması ve kontrollü izolasyonu için yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]
         

        Fidye Yazılım Saldırıları Kasım'da %30 Artarak 442'ye Yükseldi

        Siber güvenlik tehditleri giderek artmaya devam ediyor, ve fidye yazılım saldırıları Ekim ayına kıyasla yüzde 30 artarak 442'ye ulaştı. Bu sonuç, 2023 yılında beklenenin üzerinde bir artışa işaret ediyor, ve yılın geri kalanında daha fazla dikkatli olmamız gerektiğini gösteriyor.

        Sektörel Hedeflenme ve Artan Tehditler:

        Endüstri sektörü, fidye yazılım saldırılarının en çok hedeflenen sektörü olmaya devam ediyor. Kasım ayında tüm saldırıların yüzde 33'ünü oluşturan 146 saldırı ile endüstri sektörü, dijitalleşme çabalarının bir sonucu olarak artan veri miktarı nedeniyle geniş bir yelpazedeki organizasyonlar için çekici bir hedef haline geliyor. Tüketici sektörleri yüzde 18'lik oranla ikinci sırada, sağlık sektörü ise yüzde 11'lik oranla üçüncü sırada yer alıyor.

        Öne Çıkan Tehdit Aktörleri:

        LockBit, Kasım ayında en aktif tehdit aktörü olarak belirlendi. Ekim'e göre yüzde 73'lük bir artışla kaydedilen 66 saldırı, bu tehdit aktörünün etkisini sürdürdüğünü gösteriyor. İkinci sırada BackCat ve üçüncü sırada ise Play bulunuyor. Toplam saldırıların yüzde 47'sinden sorumlu olan bu üç tehdit aktörü, siber güvenlik önlemlerini güçlendirmenin ne kadar önemli olduğunu gösteriyor.

        Bölgesel Dağılım ve Avrupa'daki Artış:

        Kuzey Amerika, fidye yazılım saldırılarının en çok yoğunlaştığı bölge olmaya devam ediyor. Ancak, Avrupa'da Kasım ayında saldırıların yüzde 31 arttığına dikkat çekmek önemlidir. Asya ise yüzde 10'luk oranla üçüncü sırada yer alıyor. Bu sonuçlar, coğrafi konumun siber güvenlik riskleri üzerindeki etkisini vurguluyor.

        Carbanak'ın Geri Dönüşü:

        Kasım ayında dikkat çeken bir diğer gelişme, bankacılık kötü amaçlı yazılım Carbanak'ın fidye yazılım saldırılarına geri dönüşü oldu. 2014 yılında ilk ortaya çıkan Carbanak, evrim geçirerek yeni dağıtım yöntemleri ve işle ilgili yazılım taklitleri kullanarak tekrar sahneye çıktı.

        Önemli Uyarı ve Öneriler:

        2023 yılında toplam fidye yazılım saldırılarının 4.000'ı aşması, siber güvenliğin ne kadar kritik bir konu olduğunu gösteriyor. Özellikle endüstri sektörünün hala fidye yazılım çeteleri için çekici bir hedef olması nedeniyle, siber güvenlik önlemlerini güçlendirmek ve tedarik zinciri dayanıklılığını artırmak önemlidir.

        Yıl sonuna yaklaşırken, siber tehditlere karşı hazırlıklı olmak ve güvenlik önlemlerimizi güçlendirmek önemlidir. Tatil dönemi öncesinde fidye yazılım gruplarının daha aktif olabileceğini göz önünde bulundurarak, dikkatli olmalı ve siber güvenlik stratejilerimizi güncellemeliyiz.

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar