31 Mayıs 2024

Siber Güvenlik Bülteni - Mayıs 2024

 

Bültenimizin Mayıs Ayı konu başlıkları; 
    • Check Point VPN Hedef Alınıyor
    • İvanti EPM Zafiyeti
    • HPE ArubaOS RCE Zafiyeti
    • F5 Next Centeral Manager Zafiyeti
    • Citrix Netscaler ADC ve Gateway Zafiyeti

    Check Point VPN Hedef Alınıyor

    Tehdit aktörleri, Check Point firmasının Pazartesi günü yayınladığı bir uyarıya göre, işletme ağlarına sızmak amacıyla Check Point Remote Access VPN cihazlarını hedef alıyor.

    Remote Access, tüm Check Point ağ güvenlik duvarlarına entegre edilmiştir. VPN istemcileri aracılığıyla kurumsal ağlara erişim için VPN olarak yapılandırılabilir veya web tabanlı erişim için bir SSL VPN Portalı olarak kurulabilir.

    Check Point, saldırganların yalnızca parola ile yapılan güvensiz kimlik doğrulaması kullanan eski yerel hesapları hedef aldığını ve ihlalleri önlemek için bu yöntemin sertifika kimlik doğrulaması ile birlikte kullanılması gerektiğini belirtiyor.

    Bu devam eden saldırılara karşı savunma yapmak için, Check Point müşterilerine Quantum Security Gateway ve CloudGuard Network Security ürünlerinde ve Mobile Access ve Remote Access VPN yazılımlarında bu tür savunmasız hesapları kontrol etmeleri konusunda uyarıda bulundu.

    Cisco VPN cihazları da yoğun şekilde hedef alınıyor

    Check Point, son aylarda VPN cihazlarının devam eden saldırılarda hedef alındığına dair uyarıda bulunan ikinci şirket oldu.

    Nisan ayında, Cisco da VPN ve SSH hizmetlerini hedef alan yaygın kimlik bilgisi brute-forcing saldırıları hakkında uyardı; bu saldırılar Cisco, Check Point, SonicWall, Fortinet ve Ubiquiti cihazlarını hedef alıyor.

    Bir ay önce, Cisco, Remote Access VPN (RAVPN) hizmetlerini çalıştıran Cisco Secure Firewall cihazlarını hedef alan bir dizi parola sprey saldırısı hakkında uyardı; bu saldırılar muhtemelen birinci aşama keşif faaliyetinin bir parçasıydı.

    Geçen ay, şirket ayrıca UAT4356 (diğer adıyla STORM-1849) en azından Kasım 2023'ten bu yana dünya genelindeki hükümet ağlarına sızmak için Cisco Adaptive Security Appliance (ASA) ve Firepower Threat Defense (FTD) güvenlik duvarlarında sıfırıncı gün hatalarını kullandığını ve ArcaneDoor olarak izlenen bir siber casusluk kampanyasını yürüttüğünü açıkladı. 

    Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    İvanti EPM Zafiyeti

    Ivanti, belirli koşullar altında uzaktan kod yürütme sağlamak için kullanılabilecek Endpoint Manager (EPM) içindeki birden fazla kritik güvenlik açığını gidermek için düzeltmeler yayınladı.

    On güvenlik açığından altısı – CVE-2024-29822 ile CVE-2024-29827 arasında (CVSS puanları: 9.6) – SQL enjeksiyonu hatalarıyla ilgilidir ve aynı ağdaki kimliği doğrulanmamış bir saldırganın rastgele kod çalıştırmasına olanak tanır.

    Kalan dört hata -- CVE-2024-29828CVE-2024-29829CVE-2024-29830 ve CVE-2024-29846 (CVSS puanları: 8.4) -- aynı kategoriye girer, ancak bu hatalar için saldırganın kimlik doğrulaması gerekmektedir.

    Bu eksiklikler, Ivanti EPM sürüm 2022 SU5 ve öncesindeki Core sunucusunu etkiler.

    Şirket ayrıca, özel olarak hazırlanmış bir dosya yükleyerek bir saldırganın uzaktan kod yürütmesini sağlayabilecek yüksek dereceli bir güvenlik açığını Avalanche sürüm 6.4.3.602'de (CVE-2024-29848, CVSS puanı: 7.2) gidermiştir.

    Ayrıca, beş diğer yüksek dereceli güvenlik açığı için de yamalar yayınlanmıştır: Neurons for ITSM'deki bir SQL enjeksiyonu (CVE-2024-22059) ve bir sınırsız dosya yükleme hatası (CVE-2024-22060), Connect Secure'deki bir CRLF enjeksiyonu hatası (CVE-2023-38551) ve Windows (CVE-2023-38042) ve Linux (CVE-2023-46810) için Secure Access istemcisindeki iki yerel ayrıcalık yükseltme sorunu.

    Ivanti, hataların vahşi doğada istismar edildiğine dair bir kanıt olmadığını veya bunların bir tedarik zinciri saldırısı yoluyla kötü niyetli olarak kod geliştirme sürecimize dahil edildiğine dair bir kanıt olmadığını vurguladı.

    Bu gelişme, Netflix tarafından geliştirilen Genie açık kaynaklı büyük veri düzenleme ve yürütme motorunun açık kaynağındaki (CVE-2024-4701, CVSS puanı: 9.9) kritik bir hatayla ilgili ayrıntılar ortaya çıktığında geldi; bu hata, uzaktan kod yürütmeye yol açabilir.

    Bir yol geçişi güvenlik açığı olarak tanımlanan eksiklik, dosya sisteminde rastgele bir dosya yazmak ve rastgele kod yürütmek için kullanılabilir. Yazılımın 4.3.18 öncesi tüm sürümlerini etkiler.

    Sorun, Genie'nin REST API'sinin kullanıcı tarafından sağlanan bir dosya adını talebin bir parçası olarak kabul edecek şekilde tasarlanmasından kaynaklanır ve bu da kötü niyetli bir aktörün, varsayılan ek depolama yolundan çıkmasını ve belirtilen bir yola herhangi bir kullanıcı tarafından belirlenmiş adla bir dosya yazmasını sağlayacak bir dosya adı oluşturmasına olanak tanır.
     

    Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

    Bizi arayın: 0216 450 25 94
    [email protected]

    HPE ArubaOS RCE Zafiyeti
     

    HPE Aruba NetworkingArubaOS olarak bilinen özel ağ işletim sisteminin birçok sürümünü etkileyen kritik uzaktan kod yürütme (RCE) açıklarını yayınladı.

    Üretici, dört tanesi kritik öneme sahip (CVSS v3.1: 9.8) uzaktan kod yürütme (RCE) ile sonuçlanabilecek kimlik doğrulamasız tampon taşma sorunları olan on güvenlik açığını listeledi.

    Yeni açıklanan açıklar tarafından etkilenen ürünler şunlardır:

    HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways ve Aruba Central tarafından yönetilen SD-WAN Gateways.
    ArubaOS 10.5.1.0 ve altı, 10.4.1.0 ve daha eski, 8.11.2.1 ve altı, ve 8.10.0.10 ve daha eski sürümler. EoL (Son Kullanım Tarihi) aşamasına gelmiş tüm ArubaOS ve SD-WAN sürümleri. Bu, 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 altındaki ArubaOS sürümleri ve SD-WAN 2.3.0 ile 8.7.0.0 ve 2.2 ile 8.6.0.4 arasındaki sürümleri içerir.

    Dört kritik uzaktan kod yürütme açığı şunlardır:

    CVE-2024-26305 – ArubaOS'un Utility daemon'unda, PAPI (Aruba'nın erişim noktası yönetim protokolü) UDP portuna (8211) özel olarak hazırlanmış paketler göndererek kimliği doğrulanmamış bir saldırganın uzaktan rastgele kod yürütmesine izin veren bir hata.

    CVE-2024-26304 – L2/L3 Yönetim servisinde, PAPI UDP portuna özel hazırlanmış paketler göndererek kimliği doğrulanmamış uzaktan kod yürütmeye izin veren bir hata.

    CVE-2024-33511 – Kimliği doğrulanmamış saldırganların rastgele kod yürütmesine izin vermek için PAPI protokol portuna özel olarak hazırlanmış paketler göndererek yararlanılabilecek Otomatik Raporlama servisindeki bir güvenlik açığı.

    CVE-2024-33512 – PAPI protokolü üzerinden erişilen Yerel Kullanıcı Kimlik Doğrulama Veritabanı servisindeki bir tampon taşma hatasını kullanarak kimliği doğrulanmamış uzaktan saldırganların kod yürütmesine izin veren bir hata.

    Bu açıkları hafifletmek için, üretici Enhanced PAPI Security'yi etkinleştirmeyi ve ArubaOS'un yamalı sürümlerine yükseltmeyi önerir.

    En son sürümler ayrıca, savunmasız cihazlarda hizmet reddine neden olabilecek ve maliyetli operasyonel kesintilere yol açabilecek kimliği doğrulanmamış saldırganların neden olabileceği altı adet "orta" dereceli (CVSS v3.1: 5.3 – 5.9) başka güvenlik açığını da ele alır.

    Tüm bu on hatayı gideren hedef yükseltme sürümleri şunlardır:
    • ArubaOS 10.6.0.0 ve üstü
    • ArubaOS 10.5.1.1 ve üstü
    • ArubaOS 10.4.1.1 ve üstü
    • ArubaOS 8.11.2.2 ve üstü
    • ArubaOS 8.10.0.11 ve üstü

    F5 Next Centeral Manager Zafiyeti

    F5 Next Central Manager'da keşfedilen iki güvenlik açığı, bir tehdit aktörünün cihazların kontrolünü ele geçirmesini ve sürekli erişim için gizli sahte yönetici hesapları oluşturmasını sağlayabilecek şekilde istismar edilebilir.

    İki sorunun tanımı şu şekildedir:

    CVE-2024-21793 (CVSS puanı: 7.5) - Bir OData enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP NEXT Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir.
    CVE-2024-26026 (CVSS puanı: 7.5) - Bir SQL enjeksiyon açığı, kimlik doğrulaması yapılmamış bir saldırganın BIG-IP Next Central Manager API üzerinden kötü amaçlı SQL ifadelerini yürütmesine izin verebilir.

    Her iki açık da 20.0.1'den 20.1.0'a kadar olan Next Central Manager sürümlerini etkiler. Kusurlar 20.2.0 sürümünde düzeltilmiştir.

    Hataların başarılı bir şekilde istismar edilmesi cihazın tam yönetici kontrolüne yol açabilir ve saldırganlara Central Manager tarafından yönetilen herhangi bir BIG-IP Next varlığında yeni hesaplar oluşturma yeteneği sunabilir.

    Dahası, bu kötü niyetli hesaplar Central Manager'dan kendilerini gizli tutar. Bunun nedeni, belgelenmemiş bir API'yi çağırmayı mümkün kılan bir sunucu taraflı istek sahtekarlığı (SSRF) açığıdır ve bu hesapları oluşturur.

    Bu zafiyet ile, Central Manager'daki admin şifresi sıfırlandığında ve sistem yamalandığında, saldırgan erişimi hala kalabilir.

    Güvenlik açıklarının henüz aktif olarak istismar edildiğine dair bir işaret olmasa da, kullanıcıların potansiyel tehditleri en aza indirmek için versiyonlarını en son sürüme güncellemeleri önerilir.

    Son yıllarda, ağ ve uygulama altyapısı saldırganların ana hedeflerinden biri haline geldi. Bu yüksek ayrıcalıklı sistemleri istismar etmek, saldırganlara bir ortam içinde erişim sağlama, yayılma ve süreklilik sağlama ideal bir yol sunabilir.

    Citrix Netscaler ADC ve Gateway Zafiyeti

    Citrix, NetScaler Uygulama Teslim Kontrol (ADC) ve Gateway cihazlarında uzaktan, kimlik doğrulaması yapılmamış saldırganların etkilenen sistemlerin belleğinden potansiyel olarak hassas bilgileri elde etmelerini sağlayan bir güvenlik açığını sessizce gidermiş görünüyor.

    Bu güvenlik açığı, geçen yıl Citrix tarafından açıklanan kritik bir sıfır gün güvenlik açığı olan "CitrixBleed" (CVE-2023-4966) ile neredeyse aynı ancak o kadar ciddi değil.

    Saldırganlar, CitrixBleed'i fidye yazılımı dağıtmak, bilgi çalmak ve diğer kötü niyetli amaçlar için yaygın bir şekilde istismar ettiler. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), etkilenen kuruluşların sistemlerini yamalı NetScaler sürümlerine hızla güncellemeleri gerektiğini belirten birçok kuruluştan biriydi ve güvenlik açığını hedef alan yaygın saldırı raporlarına atıfta bulundu. Boeing ve Comcast Xfinity, saldırganların hedef aldığı birkaç büyük kuruluş arasında yer aldı.

    Buna karşılık, Güvenlik araştırmacıları Ocak ayında keşfettiği güvenlik açığı daha az tehlikeliydi çünkü saldırganların bu güvenlik açığı ile yüksek değerli herhangi bir bilgiyi ele geçirmeleri daha az olasıydı. Yine de, NetScaler sürüm 13.1-50.23'teki bu hata, saldırganların etkilenmiş cihazların işlem belleğinden HTTP istek gövdeleri de dahil olmak üzere bazı hassas bilgileri yakalamasına kapı araladı.

    Citrix, hatayı 13.1-51.15 sürümünde ele almadan önce bu hatayı ne zaman veya eğer bildirdiyse, bunun hakkında hemen bir açıklama yapmadı.

    CitrixBleed'de olduğu gibi, bu güvenlik açığı, NetScaler bileşenlerinin uzaktan erişim ve kimlik doğrulama, yetkilendirme ve denetim (AAA) sunucuları olarak kullanıldığında etkiledi. Özellikle, güvenlik araştırmacıları, Gateway ve AAA sanal sunucusunun HTTP ana bilgisayar istek başlıklarını güvensiz bir şekilde işlediğini buldu; bu, CitrixBleed'in de temel nedeniydi. Uzmanların kanıt kodu, uzak bir saldırganın güvenlik açığını potansiyel olarak yararlı bilgileri elde etmek için nasıl kullanabileceğini gösterdi.

    Uzmanlar, etkilenen NetScaler sürümünü çalıştıran kuruluşlara sürüm 13.1-51.15 veya sonrasına geçmelerini önerdi.

    Ve Tüm Bu Siber Saldırılara Karşı
    TINA Çözümlerimiz;

    Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


    Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

    Bizi arayın: 0216 450 25 94
    [email protected]

    En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

    29 Nisan 2024

    Siber Güvenlik Bülteni - Nisan 2024

     

    Bültenimizin Nisan Ayı konu başlıkları; 
      • Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız  
      • Palo Alto, PAN-OS Zafiyeti
      • Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor
      • Putty Zafiyeti
      • Ivanti MDM Kritik Zafiyet
      • Cisco Duo SMS ve VoIP Sızıntısı

      Son Dönemlerde Artış Gösteren Açıklıklara Dair Önemli Uyarımız

      Oldukça uzun dönem boyunca varlığı fark edilmeyen ve açık kalan bir çok zafiyeti dünyanın önde gelen markalarında, kabul edilebilecek seviyelerin oldukça üzerinde, şaşırtıcı düzeydeki bir sıklıkta gözlemlemekteyiz.

      Bu durum, marka büyüklüğü ile aynı oranda markaya karşı hissedilen güven duygusunun gözden geçirilmesi gerekliliğini hatırlatmakta.


      Çeşitli büyük ve bilindik markaları etkileyen sıfır gün açıklarının aktif olarak kullanıldığı ve bu şekilde uzunca dönem boyunca hedeflere sızma ve kalıcı erişim için gizli arka kapılar kurma girişimlerinin başarılı olduğu, sonuçlarıyla ortaya çıktığı gözlemleniyor.

      Markalarca üretilen güvenlik çözümlerinin, güvenlik camiasınca basit düzeyde olduğu gözlemlenen şaşırtıcı hataları, potansiyel riskleri arttırmakla kalmıyor, aynı zamanda dış ağ ile iç ağ arasındaki ayrımını belirsizleştiriyor, böylece kurumları büyük saldırılara karşı korumak yerine açık bir hedef haline getiriyor.

      Kullanılan çözüm sayısının artması, IT yöneticilerine satın alma ve kullanım aşamasında ek yük getirdiğinden farklı markalı ürünlerden uzak durulmasına, hatta kontrolün kolay olmasından dolayı "uçtan uca" aynı ürün kullanımına yol açtı. Ancak içeriye sızan bir saldırganın da aynı ürün açıklıkları veya erişim kolaylıkları ile "uçtan uca" ilerleme fırsatıyla baş başa kaldığını unutmamamız gerekiyor.

      Sistemlerde ortaya çıkan yetkisiz erişimlerin, bilgi çalınmalarının veya sistemlerin zarar görmesi olaylarının, IT yöneticisinin gündelik iş yoğunluklarını ve bütçe harcamalarını çok daha katlanılmaz hale getirdiğini ve işletmeyi daha çok yorduğunu söyleyebiliriz.

      Ortaya çıkan bu durumlara karşı atılabilecek en önemli adım; çözüm gamında farklı teknolojiler kullanılması ve farklı markalar ile çalışılması, yani kısacası önlemlerin çeşitlendirmesidir.
       

      Sunucu ve servislerinize İnternet üzerinden kısıtlı ve kontrollü erişimini sağlayan yeni güvenlik katmanı TINA ISOLATOR 'ü ücretsiz deneyebileceğinizi hatırlatırız. Yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Palo Alto, PAN-OS Zafiyeti

      Palo Alto Networks, 26 Mart'tan beri etkin olarak kötüye kullanılan bir sıfır gün açığı için düzeltmeler yayınlamaya başladı. Bu kritik güvenlik açığı (CVE-2024-3400), cihaz telemetriği ve GlobalProtect (gateway veya portal) etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 duvarlarını etkiliyor.

      Kimliği doğrulama aşaması öncesinde; saldırganlar kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarda, uzaktan kod çalıştırabilmek için bu zafiyeti kullanabilirler.

      Şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 ve PAN-OS 11.1.2-h3 için yayınladığı düzeltmelerle güvenlik açığını düzeltti. Daha sonraki PAN-OS sürümleri için daha fazla düzeltme yakında yayınlanacak.

      Palo Alto Networks'un aktif kötüye kullanım uyarısı, bu sıfır gün açığını keşfeden ve tehdit aktörlerinin Upstyle kötü amaçlı yazılımını kullanarak PAN-OS cihazlarına arka kapı bırakarak ağlara sızdığı ve veri çaldığını tespit eden güvenlik firması Volexity tarafından doğrulandı.

      Siber güvenlik araştırmacıları, CVE-2024-3400 saldırılarına karşı ilk belirlemelere göre savunmasız olan çevrimiçi 82.000'den fazla PAN-OS cihazı bulduğunu belirtti. CISA, CVE-2024-3400'ü Bilinen Sömürülen Güvenlik Açıklıkları (KEV) kataloğuna ekledi ve federal ajanslara tehdit önleme kuralını uygulayarak veya 19 Nisan'da bir hafta içinde telemetriyi devre dışı bırakarak cihazlarını güvence altına almalarını tavsiye etti.


      Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Fortinet İhlalleri Tehlike Saçmaya Devam Ediyor

      Şu anda hacker'lar 3.000'den fazla Fortinet SSL-VPN cihazına yönetici erişimi sunuyorlar. Bu ihlal, uzaktan erişim için bu cihazlara güvenen birçok kuruluşun güvenliğine ciddi bir tehdit oluşturuyor.

      Bir X hesabından atılan bir tweet, kimliği belirsiz bir hacker grubunun Fortinet SSL-VPN cihazlarındaki güvenlik açıklarını sömürmeyi başardığını gösteriyor. İşletmeler, bu cihazları uzaktan çalışan personelinin kurumsal ağlara güvenli erişimini sağlamak için yaygın olarak kullanıyorlar.

      Bu ihlal, yetkisiz erişime ve hassas kurumsal verilerin ve iç ağların erişilmesine izin verebilir.

      Potansiyel Etki
      Bu cihazlara yönetici erişiminin satılması, veri hırsızlığı, fidye yazılımı saldırıları ve diğer kötü niyetli faaliyetler gibi ciddi sonuçlara yol açabilir.

      Bu ihlalden etkilenen kuruluşlar, bu ihlal doğru bir şekilde yönetilmezse sadece operasyonel ve finansal verilerini kaybetmekle kalmayacak, aynı zamanda ciddi bir itibar kaybıyla karşı karşıya kalabilirler.

      Fortinet henüz bu belirli olaya resmi bir yanıt vermedi. Ancak, şirket ürünlerindeki güvenlik açıklarını hızlı bir şekilde yamalar ve güncellemeler aracılığıyla çözmeye çalışmaktadır.

      Fortinet SSL-VPN cihazlarını kullanan kullanıcılar, şirketten gelen güncellemelere dikkat etmeleri ve güvenlik yamalarını hemen uygulamaları konusunda uyarılıyor.

      Güvenlik Önerileri
      Siber güvenlik uzmanları, Fortinet SSL-VPN cihazlarını kullanan kuruluşlar için şu adımları önermektedir:
      • Hemen Denetim Yapın: Tüm Fortinet SSL-VPN cihazları için derhal bir güvenlik denetimi yapın.
      • Yamaları Uygulayın: Tüm cihazların Fortinet'in en son yazılımını ve güvenlik yamalarını çalıştığından emin olun.
      • Gelişmiş İzleme: Şüpheli faaliyetleri hızlı bir şekilde tespit etmek ve yanıtlamak için ağ trafiğini ve alışılmadık erişim desenlerini geliştirilmiş şekilde izleyin.
      • Personel Farkındalığı: Çalışanları olası riskler konusunda eğitin ve onları phishing girişimleri ve diğer sosyal mühendislik taktikleri konusunda dikkatli olmaları konusunda teşvik edin.
      3.000 ayrı Fortinet SSL-VPN cihazına yönetici erişiminin satılması, dijital dünyadaki sürekli tehditlerin bir hatırlatıcısıdır.

      Kuruluşlar, ağlarını hemen güvence altına almalı ve bu tür zafiyetlere karşı verilerini korumalıdır.
       

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Putty Zafiyeti

      PuTTY Güvenli Kabuk (SSH) ve Telnet istemcisinin bakımını üstlenen ekip, 0.68'den 0.80'e kadar olan sürümleri etkileyen ve NIST P-521 (ecdsa-sha2-nistp521) özel anahtarlarının tam kurtarımını sağlayabilecek kritik bir açıklığa dikkat çekiyor. Zafiyet CVE-2024-31497 kodu ile takip edilebilir.

      PuTTY ekibi "açığın etkisi özel anahtarı tehlikeye atmaktır" dedi.

      İki düzineden biraz daha fazla imzaya ve genel anahtara sahip bir saldırgan, özel anahtarı kurtarmak ve ardından sizin gibi imzalar üretmek için yeterli bilgiye sahip olur, böylece sizin için anahtar kullandığınız herhangi bir sunucuya giriş yapabilirler. Ancak imzaları elde etmek için bir saldırganın anahtarın kimlik doğrulaması için kullanıldığı sunucuyu ele geçirmesi gerekecektir.

      PuTTY'yi etkilediği gibi, diğer ürünleri de etkiler -
      • FileZilla (3.24.1 - 3.66.5)
      • WinSCP (5.9.5 - 6.3.2)
      • TortoiseGit (2.4.0.2 - 2.15.0)
      • TortoiseSVN (1.10.0 - 1.14.6)

      Sorumlu açıklamanın ardından, sorun PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ve TortoiseGit 2.15.0.1'de çözüldü. TortoiseSVN kullanıcıları, bir yama kullanılabilir hale gelene kadar SSH aracılığıyla bir SVN deposuna erişirken en son PuTTY 0.81 sürümündeki Plink'i kullanmaları önerilir.

      Özellikle, bu eski yaklaşım, PuTTY geliştiricileri tarafından belirtildiği gibi, yüksek kaliteli rasgelelik kaynağına ihtiyaç duymadan nonce'u türetme yöntemine sahip olmasına rağmen, P-521 kullanıldığında eğik nonce'lara duyarlı olan deterministik bir yaklaşım kullanarak elde edildi.

      Bu eski yaklaşım, Microsoft Windows'un kriptografik rasgele sayı üreteci için yerleşik desteğe sahip olmadığı bir dönemde geliştirildi.

      Zafiyetli bileşenlerle kullanılan ECDSA NIST-P521 anahtarları tehlikeye atfedilmeli ve dolayısıyla bunlar ~/.ssh/authorized_keys dosyalarından ve diğer SSH sunucularındaki karşılıklarından kaldırılarak iptal edilmelidir.

      İvanti MDM Kritik Zafiyet

      İvanti, Avalanche mobil cihaz yönetimi (MDM) çözümünde 27 güvenlik açığını düzeltmek için güvenlik güncelleştirmeleri yayınladı, bunlardan ikisi uzaktan komut yürütme için kullanılabilen kritik heap taşmaları. Avalanche, kurumsal yöneticilerin 100.000'den fazla mobil cihazı tek bir merkezi konumdan uzaktan yönetmelerini, yazılım dağıtmalarını ve güncellemeleri planlamalarını sağlayan bir çözümdür.

      İvanti, iki kritik güvenlik açığının (CVE-2024-24996 ve CVE-2024-29204) Avalanche'in WLInfoRailService ve WLAvalancheService bileşenlerinde bulunduğunu açıkladı.

      İkisi de bellek tabanlı tampon taşma zayıflıklarından kaynaklanmaktadır ve kimlik doğrulaması yapılmamış uzaktan saldırganların kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıklı saldırılarla savunmasız sistemlerde keyfi komutlar yürütmesine izin verebilir. Ivanti, uzaktan saldırganların hizmet reddi saldırıları tetikleyebileceği, SYSTEM olarak keyfi komutlar yürütebileceği, bellekten hassas bilgileri okuyabileceği ve uzaktan kod yürütme saldırıları başlatabileceği 25 orta ve yüksek ciddiyetli hataları düzeltti.

      "Güvenlik açıklarını ele almak için aşağıda listelenen Avalanche sürümüne yükseltmek ve en son Avalanche 6.4.3 sürümüne güncellemek çok önemlidir."

      İvanti, geçen Aralık ayında Avalanche MDM çözümünde 13 kritik düzeyde uzaktan kod yürütme açığını yamaladıktan sonra, Ağustos ayında topluca izlenen iki başka Avalanche tampon taşması olan CVE-2023-32560'ı düzeltmişti.

      Hackerlar, bir yıl önce Norveçli birçok hükümet kuruluşunun ağlarını ihlal etmek için Ivanti'nin Endpoint Manager Mobile (EPMM) olarak da bilinen MobileIron Core'un iki sıfır gün açığını (CVE-2023-35078 ve CVE-2023-35081) kullandılar. Aylar sonra, saldırganlar üçüncü bir MobileIron Core sıfır günü (CVE-2023-35081) ile CVE-2023-35078'i birleştirdiler ve aynı zamanda bir düzine Norveçli bakanlığın IT sistemlerine de sızdılar.

      "Cep cihazı yönetimi (MDM) sistemleri, binlerce mobil cihaza yükseltilmiş erişim sağladıkları için tehdit aktörleri için çekici hedeflerdir ve APT aktörleri önceki bir MobileIron açığından yararlanmıştır," (CISA'nın eski bir uyarısı.)

      Cisco Duo SMS ve VoIP Sızıntısı

      Cisco Duo Güvenlik Ekibi, telekomünikasyon sağlayıcılarında gerçekleşen bir siber saldırıda bazı müşterilerin VoIP ve SMS günlüklerinin çalındığını bildiriyor. Cisco Duo, şirket içi ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü kimlik doğrulama ve Tek Oturum Açma (SSO) hizmetidir. Duo'nun ana sayfasına göre, hizmet 100.000 müşteriye hizmet veriyor ve aylık olarak bir milyardan fazla kimlik doğrulaması yapıyor; Google Play'de ise 10.000.000'den fazla indirme rakamına ulaşmış durumda.

      Müşterilere gönderilen e-postalarda Cisco Duo, 1 Nisan 2024 tarihinde yaşanan bir telekomünikasyon sağlayıcısı üzerindeki siber saldırı hakkında bilgi veriyor. Bildirimde, bir tehdit aktörünün bir avlanma saldırısıyla çalışan kimlik bilgilerini elde ettiği ve ardından bu kimlik bilgilerini kullanarak telekomünikasyon sağlayıcısının sistemlerine erişim sağladığı belirtiliyor.

      Saldırgan daha sonra 1 Mart 2024 ile 31 Mart 2024 tarihleri arasındaki belirli Duo hesaplarıyla ilişkilendirilen SMS ve VoIP MFA mesaj günlüklerini indirmiş.

      Sağlayıcı, tehdit aktörünün mesajların içeriğine erişim sağlamadığını veya erişimlerini müşterilere mesaj göndermek için kullanmadığını doğruladı. Ancak, çalınan mesaj günlükleri, kurumsal kimlik bilgilerine erişmek için hedefe yönelik avlanma saldırılarında kullanılabilecek veriler içeriyor.

      Bu günlüklerde bulunan veriler şunları içerir:
      • Telefon numarası
      • Taşıyıcı
      • Konum verisi
      • Tarih
      • Saat
      • Mesaj türü
      Etkilenen tedarikçi saldırıyı keşfettiğinde, etkilenen kimlik bilgilerini geçersiz kıldı, etkinlik günlüklerini analiz etti ve Cisco'yu bilgilendirdi. Benzer olayların gelecekte yaşanmasını önlemek için ek güvenlik önlemleri de alındı.

      Cisco, bu ihlalden etkilenen müşterileri, çalınan bilgileri kullanarak potansiyel SMS avlanma veya sosyal mühendislik saldırılarına karşı dikkatli olmaları konusunda uyarıyor.

      FBI geçen yıl, tehdit aktörlerinin kurumsal ağlara sızmak için SMS avlanma ve sesli aramaları kullanma konusunda giderek artan bir eğilim gösterdiğini uyardı.

      2022 yılında, bir tehdit aktörü bir Uber çalışanında çok faktörlü kimlik doğrulama yorgunluğu saldırısı gerçekleştirdikten sonra onlara WhatsApp üzerinden telefon numarasıyla iletişime geçerek, IT yardım masası personeli gibi davranarak, sonunda hedefin hacklere hesaba giriş yapmalarına ve Uber'in sistemlerine erişmelerine izin verdi.

      Cisco, bu olaydan etkilenen tedarikçinin adını ve bu olaydan etkilenen net müşteri sayısını açıklamadı. Cisco, Duo'nun müşterilerinin yaklaşık %1'ini etkilediğini bildirdi. Şirketin 100.000 kullanıcısı olduğu iddia edildiğine göre, bu olay yaklaşık olarak 1.000 kişiyi etkiledi.

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      30 Mart 2024

      Linux XZ Araçlarındaki Kritik Arka Kapı

      Red Hat, en son XZ Utils veri sıkıştırma araçları ve kütüphanelerinde bulunan bir arka kapı nedeniyle Fedora geliştirme ve deneysel sürümleri çalıştıran sistemlerin derhal kullanımını durdurma konusunda kullanıcıları uyardı. (https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users)

      Red Hat, Cuma (29 Mart 2024) günü "LÜTFEN HEM İŞ HEM DE KİŞİSEL AKTİVİTELER İÇİN FEDORA 41 VE FEDORA RAWHIDE ÖRNEKLERİNİN KULLANIMINI DERHAL DURDURUN" uyarısında bulundu.

      Red Hat, bu tedarik zinciri güvenlik sorununu CVE-2024-3094 olarak takip ediyor, 10/10 kritik dereceli puanı atadı ve Fedora 40 beta'da XZ'nin 5.4.x sürümlerine geri döndü.

      Kötü amaçlı kod, karışık ve yalnızca tam indirme paketinde bulunabilir, M4 makrosunu içermeyen Git dağıtımında bulunmaz durumda, bu da arka kapı derleme sürecini tetikleyen bir M4 makrosu eksikliğinden kaynaklanıyor. Kötü amaçlı makro varsa, ikinci aşama ürünleri Git deposunda derleme zamanında enjekte edilir.

      Red Hat, "Hiçbir Red Hat Enterprise Linux (RHEL) sürümü etkilenmemiştir. Debian unstable (Sid) için derlenen xz 5.6.x sürümlerinde başarılı bir şekilde enjeksiyon yapıldığına dair raporlar ve kanıtlarımız var. Diğer dağıtımlar da etkilenebilir." diyerek uyardı.

      Red Hat ayrıca "Sonuç olarak elde edilen kötü amaçlı derleme, systemd üzerinden sshd'yi kimlik doğrulamasında engeller. SSH, sistemlere uzaktan bağlanmak için yaygın olarak kullanılan bir protokoldür ve sshd erişimi sağlayan servistir, Doğru koşullar altında bu müdahale, potansiyel olarak kötü niyetli bir aktörün sshd kimlik doğrulamasını kırmasına ve tüm sisteme uzaktan yetkisiz erişim elde etmesine olanak tanıyabilir." diye de belirtti.

      Debian'ın güvenlik ekibi de kullanıcıları konuyla ilgili uyardı. Uyarıda, istikrarlı Debian sürümlerinin etkilenen paketleri kullanmadığını ve XZ'nin etkilenen Debian testing, unstable ve experimental dağıtımlarında yukarı akış 5.4.5 koduna geri döndürüldüğünü belirtiyor.

      5.6.0 ve 5.6.1 sürümlerine eklenen kötü amaçlı kodun tam amacı henüz bulunamadı. Uzmanlar "Enjekte edilen kodun neyin kontrol edildiği henüz analiz edilmedi fakat izinsiz erişim için olduğu ve bu önişlem bağlamında çalıştığı için, muhtemelen bir tür erişim veya başka bir uzak kod yürütme biçimi sağlamak için olması muhtemel. Öncelikle sshd'yi systemd dışında başlatmak, arka kapı kısa süreliğine çağrıldığında bile yavaşlama göstermedi. Bu, analizi zorlaştırmak için bazı karşı önlemlerin bir parçası gibi görünüyor. " diye uyarıyor.

      CISA da bir uyarı yayınladı ve geliştiricileri ve kullanıcıları etkilenmemiş bir XZ sürümüne (örneğin, 5.4.6 Kararlı) geri dönmeye ve sistemlerinde herhangi bir kötü amaçlı veya şüpheli faaliyet aramaya çağırdı.

      Eğer sistem etkilenen sürümü çalıştırıyorsa, bunu nasıl anlayacağınız şu şekildedir:

           xz --version

      Çıktı xz (XZ Utils) 5.6.1 veya liblzma 5.6.1 ise, kullanıcılar dağıtımları için güncelleme yapabilirler, xz'yi eski sürüme düşürebilirler veya geçici olarak ssh'ı devre dışı bırakabilirler.

      Sorun başlıca Linux dağıtımlarını etkilemekle birlikte, bazı MacOS sürümlerinin de etkilenmiş paketleri çalıştırdığı rapor ediliyor. Eğer durum buysa, Mac üzerinde brew upgrade komutunu çalıştırmak xz'yi 5.6.0'dan 5.4.6'ya düşürmelidir.


      Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

      Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

      Bizi arayın: 0216 450 25 94
      [email protected]

      Ve Tüm Bu Siber Saldırılara Karşı
      TINA Çözümlerimiz;

      Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


      Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

      Bizi arayın: 0216 450 25 94
      [email protected]

      En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

      28 Mart 2024

      Siber Güvenlik Bülteni - Mart 2024

       

      Bültenimizin Mart Ayı konu başlıkları; 
        • Lockbit, Saldırılarına Tekrar Başladı
        • QNAP NAS Cihazlarında Kritik Hata
        • Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı
        • Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor
        • FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

        Lockbit, Saldırılarına Tekrar Başladı

        LockBit fidye yazılımı çetesi, geçen ay yapılan uluslararası yasal müdahaleden sonra, güncellenmiş şifreleyiciler kullanarak yine saldırılar düzenlemeye başladı.

        NCA, FBI ve Europol'un LockBit fidye yazılımı operasyonu 'Operasyon Cronos' adı verilen koordineli bir müdahale ile geçen ay gerçekleştirilmişti.

        Bu operasyon kapsamında, yasal yetkililer altyapıyı ele geçirirken, şifre çözücüler kurtarıldı ve fidye yazılımı çetesinin veri sızıntısı sitesi, polis tarafından basın portalına dönüştürüldü. Bunun üzerine kısa bir süre sonra LockBit yeni bir veri sızıntısı sitesi kurdu ve FBI'a hitaben uzun bir not bıraktı; burada yasal yetkililerin sunucularına bir PHP hatası kullanarak sızdığını iddia etti.

        Yeniden markalaşmak yerine, operasyon genelinde saldırılardan kaçınmak ve şifre çözücülere erişimi engellemek için güncellendirilmiş altyapı ve yeni güvenlik mekanizmalarıyla geri döneceklerini de açıkladılar. LockBit'in yeni altyapıları için yeni veri sızıntısı ve müzakere siteleri kurarak saldırılarına devam ettiği görünüyor.

        Zscaler tarafından ilk olarak bildirildiği gibi, fidye yazılımı çetesi, şifreleyicilerin fidye notlarını yeni altyapılarında Tor URL'leriyle güncelledi. Güncellenmiş fidye notlarını içeren örneklerin VirusTotal'e yüklendiği de doğrulandı.

        LockBit kapatıldığında, fidye yazılımı operasyonunun yaklaşık 180 ortağı vardı. Kaçının hala Hizmet Olarak Fidye Yazılımı (RaaS) ile çalıştığı bilinmiyor. Ancak, LockBit şimdi deneyimli pentester'ları tekrar operasyonlarına katılmaya aktif olarak davet ediyor ve bu çağrı muhtemelen gelecekteki saldırıların artmasına neden olacaktır. LockBit'in yavaşça silinip Conti gibi yeniden markalaşma planının bir parçası olup olmadığı henüz bilinmiyor. Ancak şu anda, LockBit'in hala bir tehdit olmaya devam ettiği dikkate alınmalıdır.

        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        QNAP NAS Cihazlarında Kritik Hata

        QNAP, QTS, QuTS hero, QuTScloud ve myQNAPcloud dahil NAS yazılım ürünlerinde bulunan ve saldırganların cihazlara erişmesine izin verebilecek güvenlik açıklarına dikkat çekiyor.

        NAS cihazı üreticisi QNAP, bir kimlik doğrulama atlatması, komut enjeksiyonu ve SQL enjeksiyonuna yol açabilen üç açığı açıkladı.

        Son iki açık, saldırganların hedef sistemde kimlik doğrulaması yapmalarını gerektirse de, riski önemli ölçüde azaltırken, bildirilen ilk açık (CVE-2024-21899) kimlik doğrulaması olmadan uzaktan yürütülebilir ve "düşük karmaşıklık" olarak bildirilmiştir.

        Düzeltilen üç zafiyet ise şunlardır:

        CVE-2024-21899: Uygun olmayan kimlik doğrulama mekanizmaları, yetkisiz kullanıcıların ağı kullanarak sistemin güvenliğini tehlikeye atmasına izin verir (uzaktan).
        CVE-2024-21900: Bu güvenlik açığı, kimlik doğrulama yapılmış kullanıcılara, ağı kullanarak sistemde keyfi komutlar yürütme olanağı sağlayabilir ve bu da yetkisiz sistem erişimine veya kontrolüne yol açabilir.
        CVE-2024-21901: Bu zafiyet, kimlik doğrulama yapılmış yöneticilerin ağı kullanarak kötü amaçlı SQL kodu enjekte etmesine olanak tanıyabilir ve bu da veritabanı bütünlüğünü tehlikeye atabilir ve içeriğini manipüle edebilir.

        Bu zafiyetler, QNAP'ın QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x ve myQNAPcloud 1.0.x hizmetlerinin çeşitli sürümlerini etkiler.

        Bu üç zafiyeti barındıran, aşağıdaki sürümler için yükseltme yapılması önerilir:

        QTS 5.1.3.2578 yapı 20231110 ve sonrası
        QTS 4.5.4.2627 yapı 20231225 ve sonrası
        QuTS hero h5.1.3.2578 yapı 20231110 ve sonrası
        QuTS hero h4.5.4.2626 yapı 20231225 ve sonrası
        QuTScloud c5.1.5.2651 ve sonrası
        myQNAPcloud 1.0.52 (2023/11/24) ve sonrası

        QTS, QuTS hero ve QuTScloud için, kullanıcıların yönetici olarak giriş yapması, 'Kontrol Paneli > Sistem > Yazılım Güncelleme'ye gitmesi ve 'Güncellemeleri Kontrol Et'i tıklaması gerekmektedir.

        myQNAPcloud'u güncellemek için, yönetici olarak giriş yapın, 'Uygulama Merkezi'ni açın, arama kutusuna tıklayın ve "myQNAPcloud" yazın ve ENTER basın. Güncelleme sonuçlarda görünmelidir. Güncellemeyi başlatmak için 'Güncelle' düğmesine tıklayın.

        NAS cihazları genellikle veri hırsızlığı ve şantaj amacıyla hedef alınır. Önceki QNAP cihazlarını hedef alan bazı fidye yazılımları operasyonları DeadBolt, Checkmate ve Qlocker'dır. Bu gruplar, bazen tamamen yamalı cihazlara sızmak için sıfır gün saldırılarını kullanarak NAS kullanıcılarına karşı birçok saldırı dalgası başlatmıştır. NAS sahipleri için en iyi tavsiye, yazılımlarını her zaman güncel tutmaktır ve bu tür cihazları İnternet'e açmamaktır. Eğer İnternet'e açmaları gerekiyorsa;

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Cisco, Yüksek VPN Zafiyeti için Yama Yayınladı

        Cisco,  Secure Client adlı kurumsal VPN uygulamasındaki iki yüksek dereceli açığın yamalarını duyurdu.

        İlk zafiyet, CVE-2024-20337 olarak izlenen, Linux, macOS ve Windows sürümlerini etkileyen Secure Client'a ilişkindir ve kimlik doğrulama olmaksızın uzaktan, taşıma satırı besleme (CRLF) enjeksiyonu saldırılarında kullanılabilir.

        Kullanıcı tarafından sağlanan girişin yetersiz şekilde doğrulanması nedeniyle, VPN oturumu oluştururken bir kullanıcıyı hileli bir bağlantıya tıklamaya ikna eden bir saldırgan, kurbanın tarayıcısında keyfi komut dosyalarını yürütebilir veya SAML tokenleri gibi hassas bilgilere erişebilir.

        Cisco'un açıklamasına göre, yalnızca SAML Dış Tarayıcı özelliğiyle yapılandırılmış VPN baş ucu olan Secure Client örnekleri savunmasız durumdadır. Üretici, güvenlik açığını Secure Client sürümleri 4.10.08025 ve 5.1.2.42 ile giderdiğini belirtmiştir. Sürüm 4.10.04065'ten önceki sürümlerin ise savunmasız olmadığı ile ayrıca 5.0 sürümü için yamaların mevcut olmadığı belirtilmiştir.

        İkinci yüksek ciddiyetli hatada, CVE-2024-20338 olarak izlenen, yalnızca Linux için Secure Client'i etkiler ve başarılı bir saldırı için kimlik doğrulama gerektirir. VPN uygulamasının 5.1.2.42 sürümünde ise bu hatanın düzeltildiği belirtilmiştir.

        Üretici "Bir saldırgan, kötü niyetli bir kitaplık dosyasını dosya sisteminde belirli bir dizine kopyalayarak ve bir yöneticiyi belirli bir işlemi yeniden başlatmaya ikna ederek bu açığı kullanabilir. Başarılı bir saldırı, saldırganın kök ayrıcalıklarına sahip etkilenen bir cihazda keyfi kod yürütmesine izin verebilir," diye belirtiyor.

        Cisco ayrıca AppDynamics Controller ve Duo Authentication for Windows Logon ve RDP'de birden fazla orta ciddiyetli hata için yamalar duyurdu, bu da veri sızıntılarına ve ikincil kimlik doğrulama atlamalarına neden olabilir.

        Küçük İşletme 100, 300 ve 500 AP'lerindeki diğer iki orta ciddiyetli zafiyet ise yamalanmayacak, çünkü bu ürünler ömürlerini tamamlamış durumda (EoL). Ayrıca üretici, bu açıkların hiçbirinin şu anda gerçek dünyada istismar edilmediği yorumunu belirtiyor.

        Ivanti Connect Secure VPN Zafiyeti Sömürülmeye Devam Ediyor

        Çinli siber tehdit aktörleri, son dönemde Ivanti Connect Secure VPN'deki açıkları hedef alarak saldırılarını sürdürüyor ve saldırılarında kalıcılık sağlamak için yeni geliştirilen kötü amaçlı yazılımları kullanıyorlar.

        Bu açıklar, Volexity'nin üç hafta kadar önce Çinli tehdit aktörlerinin iki tanesini sıfır gün olarak kullandığı uyarısının ardından, 31 Ocak'ta ele alındı.

        Bir hafta kadar sonra, Ivanti, kurumsal VPN ve ağ erişim ürünlerinde beşinci bir açığı yamaladı. Bu açıkların kanıtı olarak sunulan kodlar hızla yayımlandı ve saldırganlar bunları hemen sömürmeye başladılar.

        Yama dağıtımından sonra, saldırganlar, Ivanti'nin kurumsal VPN ve ağ erişim cihazlarında SAML bileşeninde bulunan bir sunucu tarafından istek sahteciliği (SSRF) açığı olarak tanımlanan ve CVE-2024-21893 olarak bilinen bir açığı sömürmeye devam ettiler.

        UNC5325 olarak tanımlanan Çinli bir tehdit aktörü, CVE-2024-21893'ü sömürmek için LittleLamb.WoolTea, PitStop, Pitdog, PitJet ve PitHook gibi yeni kötü amaçlı yazılım ailelerini dağıtmak için gözlemlendi.

        Kod örtüşmelerine dayanarak, UNC5325'in önceden savunmasız VMware ürünlerini hedef alan Çinli siber casusluk grubu UNC3886 ile ilişkilendirildiği belirlendi.

        UNC3886ABD ve APJ bölgelerindeki savunma endüstriyel tabanı, teknoloji ve telekomünikasyon organizasyonlarını hedef aldı. UNC5325'in, Ivanti'nin ürünlerindeki bir komut enjeksiyonu olan CVE-2024-21887 ve CVE-2024-21893'ü birleştirmeye devam ettiği gözlemlendi.

        İlk erişim sağlandıktan sonra, saldırganlar keşif yapmış ve ters kabuk kurmuşlardır.

        Saldırganların cihazdan keyfi dosyaları okumalarına izin veren ve Ivanti'nin yerleşik sistem yardımcı programlarını kullanarak tespit edilmeyi önlemek için "cihazın incelikli bir anlayışını" gösteren bir web kabuğunun bir türevi olan BushWalk adlı bir web kabuğunu kullandıkları görüldü.

        Bazı durumlarda, saldırganlar SparkGateway eklentilerini geri kapılar dağıtmak ve paylaşılan nesneleri kalıcı olarak enjekte etmek için kullandılar. SparkGateway, Ivanti'nin VPN cihazının meşru bir bileşenidir ve uzaktan erişim sağlar.

        Bu SparkGateway eklentilerinden biri olan PitFuel adlı bir eklenti, LittleLamb.WoolTea adlı paylaşılan nesneyi yüklemek için kullanıldı, ancak kalıcılık denemeleri başarısız oldu.

        İkinci kötü amaçlı SparkGateway eklentisi olan PitDogPitHook adlı paylaşılan nesneyi belleğe enjekte ederken ve geri kapı olan PitStop'u sürekli olarak yürütürken görüldü. PitStop, komutları yürütebilir ve değiştirilmiş cihazda dosya okuyabilir ve yazabilir.

        UNC5325'in TTP'leri ve kötü amaçlı yazılım dağıtımı, sıfır günlerle birlikte kenar altyapısına karşı şüpheli Çin-nexus casusluk aktörlerinin kullandığı yetenekleri sergiliyor. UNC5325'in, Ivanti Connect Secure cihazının önemli bir bilgi birikimine sahip olduğu ve fabrika sıfırları sırasında kalıcı olma girişimlerinde görüldüğü belirtiliyor.

        FortiOS, FortiProxy, FortiClientEMS Zafiyetleri Yamalandı

        Fortinet, FortiOS, FortiProxy ve FortiClientEMS'deki kritik kod yürütme açıklarını gidermek için güvenlik güncellemelerini yayınladı.

        İlk zafiyet, CVE-2023-42789 olarak izlenen bir sınır dışı yazma sorunudur (CVSS puanı 9.3). Bu, hassas HTTP istekleri gönderilerek yetkisiz kod veya komutların yürütülmesine olanak tanıyan bir açıktır.

        Bu zafiyet, Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

        Üretici ayrıca, özel olarak oluşturulmuş HTTP istekleri aracılığıyla yetkisiz kod veya komutların yürütülmesine olanak tanıyan yüksek dereceli bir yığın tabanlı tampon taşma zafiyetini de ele almıştır. Bu zafiyet, CVE-2023-42790 olarak izlenmektedir (CVSS puanı 8.1).

        Bu zafiyet de Fortinet FortiOS 7.4.0 ile 7.4.1, 7.2.0 ile 7.2.5, 7.0.0 ile 7.0.12, 6.4.0 ile 6.4.14, 6.2.0 ile 6.2.15, FortiProxy 7.4.0, 7.2.0 ile 7.2.6, 7.0.0 ile 7.0.12, 2.0.0 ile 2.0.13 sürümlerini etkilemektedir.

        Güvenlik üreticisi ayrıca, DAS bileşenindeki önemli bir yaygın SQL enjeksiyon sorununu da ele almıştır. Bu zafiyet, CVE-2023-48788 olarak izlenmektedir (CVSS puanı 9.3).

        "Şekillendirilmiş istekler aracılığıyla yetkisiz kod veya komutların yürütülmesine izin verebilecek bir SQL Enjeksiyonu açığı [CWE-89] FortiClientEMS'de bir güvenlik açığı oluşturabilir." şeklinde açıklamada bulunulmuştur.

        Bu zafiyetten etkilenen sürümler ve bu sorunu ele alan sürümler aşağıda belirtilmiştir:

        Sürüm                        Etkilenen             Çözüm
        FortiClientEMS 7.2     7.2.0 ile 7.2.2        7.2.3 veya üstüne yükseltme yapın
        FortiClientEMS 7.0     7.0.1 ile 7.0.10      7.0.11 veya üstüne yükseltme yapın


        Eğer sistemlerinizde güvenlik yamalarınızı yapmadıysanız veya TINA ISOLATOR kullanmıyorsanız bu tür zafiyetlere karşı savunmasız olduğunuzu unutmayın.

        Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.

        Bizi arayın: 0216 450 25 94
        [email protected]

        Ve Tüm Bu Siber Saldırılara Karşı
        TINA Çözümlerimiz;

        Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı?


        Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz.

        Bizi arayın: 0216 450 25 94
        [email protected]

        En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

        Popüler Yayınlar