Siber Güvenlik Bülteni - Aralık 2024

Bültenimizin Aralık Ayı konu başlıkları;  Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı Dell SupportAssist Yazılımında Güvenlik Açığı Japan Airlines (JAL), Siber Saldırıya Uğradı Romanya Seçimlerine Siber Saldırı

Sophos, Güvenlik Duvarı Ürünlerinde Kritik Açık için Yama Yayınladı

Sophos, güvenlik duvarı ürünlerinde uzaktaki saldırganların kimlik doğrulama olmadan rastgele kod çalıştırmasına olanak tanıyabilecek kritik bir güvenlik açığı için yamalar yayınladı. CVE-2024-12727 olarak izlenen bu güvenlik açığı, e-posta koruma özelliğini etkileyen bir SQL enjeksiyonu hatası olarak tanımlanıyor. Bu açık, saldırganların güvenlik duvarlarının raporlama veritabanına erişmesini sağlıyor. Bu güvenlik açığı, Secure PDF eXchange (SPX) özelliğinin belirli bir yapılandırmasının etkinleştirilmesi ve güvenlik duvarının Yüksek Erişilebilirlik (HA) modunda çalıştırılması durumunda uzaktan kod yürütme (RCE) için kötüye kullanılabiliyor. Sophos’un güvenlik danışmanlığına göre, bu açık 21.0 MR1 (21.0.1) sürümünden önceki güvenlik duvarı ürünlerini etkiliyor ve cihazların yalnızca %0.05’ini kapsıyor. Geçen hafta şirket, güvenlik duvarı ürünlerinin 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4 ve 19.0 MR2 sürümleri için hızlı yamalar yayınladı. Bu yamalar ayrıca Sophos Güvenlik Duvarı 21.0 MR1 sürümüne de dahil edildi. Güncellenen sürüm, aynı zamanda CVE-2024-12728 kodlu zayıf kimlik bilgileri hatasını da ele alıyor. Bu güvenlik açığını azaltmak için kullanıcıların SSH erişimini yalnızca fiziksel olarak ayrılmış özel HA bağlantısıyla sınırlamaları veya HA yapılandırmasını yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmaları gerekiyor. Ayrıca WAN üzerinden SSH erişimi devre dışı bırakılmalıdır. Ek olarak, CVE-2024-12729 kodlu, kimliği doğrulanmış saldırganların uzaktan rastgele kod çalıştırmasına izin verebilecek Kullanıcı Portalı'nda bir kod enjeksiyonu açığı için de yamalar yayınlandı. Sophos, bu açığın kötüye kullanılmasını önlemek için kullanıcıların WAN üzerinden Kullanıcı Portalı ve Webadmin erişimini devre dışı bırakmalarını öneriyor.   Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

Palo Alto Networks, PAN-OS Yazılımında Güvenlik Açığı

Palo Alto Networks, yeni nesil güvenlik duvarlarını çalıştıran PAN-OS yazılımında CVE-2024-3393 kodlu yüksek öneme sahip bir güvenlik açığını açıkladı. Bu açık, kimliği doğrulanmamış saldırganların özel olarak hazırlanmış DNS paketleri göndererek DNS Güvenlik özelliğini istismar etmesine olanak tanır ve Hizmet Reddi (DoS) durumuna yol açar. Güvenlik açığı, etkilenen güvenlik duvarlarının yeniden başlatılmasına ve tekrar tekrar istismar edilmesi durumunda bakım moduna geçmesine neden olabilir. Sorun, PAN-OS DNS Güvenlik özelliğinin istisnai koşulları düzgün şekilde ele almamasından kaynaklanıyor. Saldırganlar, güvenlik duvarının veri düzleminden kötü amaçlı paketler göndererek çökmesine ve yeniden başlatılmasına yol açabilir. Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve ciddi kesinti potansiyeline işaret eder. Saldırı karmaşıklığı düşüktür, kullanıcı etkileşimi veya özel ayrıcalıklar gerektirmez ve ağ üzerinden uzaktan gerçekleştirilebilir.   Etkilenen Sürümler Bu güvenlik açığı, birden fazla PAN-OS sürümünü etkilemektedir: PAN-OS 11.2: 11.2.3'ten önceki sürümler etkilenmiştir. PAN-OS 11.1: 11.1.5'ten önceki sürümler etkilenmiştir. PAN-OS 10.2: 10.2.8'den önceki sürümler etkilenmiştir (ek düzeltmeler bakım güncellemelerinde mevcuttur). PAN-OS 10.1: 10.1.14'ten önceki sürümler etkilenmiştir. Prisma Access müşterileri de savunmasız PAN-OS sürümlerini kullanmaları durumunda risk altındadır. Palo Alto Networks, saldırganların bu güvenlik açığını üretim ortamlarında başarıyla kullanarak Hizmet Reddi (DoS) koşulları oluşturduklarını doğrulamıştır. Bu güvenlik açığı, gizlilik veya bütünlüğü tehlikeye atmasa da, kullanılabilirliği önemli ölçüde etkiler ve ağ güvenliğine bağımlı kuruluşlar için kritik bir endişe kaynağıdır.   Yayınlanan Yamalar Palo Alto Networks, bu güvenlik açığını ele almak için aşağıdaki sürümlerde yamalar yayınlamıştır: PAN-OS 10.1.14-h8 PAN-OS 10.2.10-h12 PAN-OS 11.1.5 PAN-OS 11.2.3 Müşterilere riskleri azaltmak için bu sürümlere veya daha yeni sürümlere güncellemeleri şiddetle önerilmektedir.   Geçici Çözümler (Yama Uygulanamıyorsa) Düzeltmeleri hemen uygulayamayanlar için geçici çözümler şunları içerir: Objects → Security Profiles → Anti-spyware → DNS Policies yolunu izleyin. Tüm DNS Güvenlik kategorileri için “Log Severity” ayarını “none” olarak belirleyin. Değişiklikleri kaydedin ve yamalar uygulandıktan sonra ayarları geri alın.   Kuruluşların Atması Gereken Adımlar Sistemlerin güvenliğini sağlamak için yamaları hemen uygulayın. Yama uygulanamıyorsa önerilen geçici çözümleri hayata geçirin. Güvenlik duvarı davranışını, beklenmeyen yeniden başlatmalar veya bakım modu durumları için izleyin. Güvenlik danışmanlıklarını düzenli olarak gözden geçirin ve yazılım sürümlerini güncel tutun. Bu güvenlik açığı, ağ altyapısını gelişen tehditlere karşı korumak için zamanında yama yönetiminin ve güçlü izleme uygulamalarının kritik önemini bir kez daha vurgulamaktadır.

Dell SupportAssist Yazılımında Güvenlik Açığı

Dell'in yaygın olarak kullanılan SupportAssist yazılımında yeni ortaya çıkan yüksek etkili bir güvenlik açığı, saldırganların etkilenen sistemlerde ayrıcalıkları yükseltmesine olanak tanıyabilir. CVE-2024-52535 olarak tanımlanan bu güvenlik açığı, sistem bütünlüğünü tehlikeye atma ve operasyonları aksatma potansiyeli nedeniyle siber güvenlik uzmanları ve son kullanıcılar arasında ciddi endişelere yol açtı. Güvenlik Açığı Detayları CVE-2024-52535, şu sürümleri etkiliyor: Dell SupportAssist for Home PCs: 4.6.1 ve önceki sürümler Dell SupportAssist for Business PCs: 4.5.0 ve önceki sürümler Bu güvenlik açığı, yazılımın iyileştirme bileşenindeki sembolik bağlantı (symlink) saldırısından kaynaklanıyor. Saldırganlar, bu güvenlik açığını kullanarak düşük ayrıcalıklı kimlik doğrulanmış kullanıcı hesapları üzerinden yetkilerini yükseltebilir ve sistemde yetkisiz işlemler gerçekleştirebilir. Buna, dosya ve klasörlerin keyfi olarak silinmesi gibi kritik yetkilendirilmemiş işlemler de dahildir. Bu tür bir sömürü, saldırganların kritik dosyaları sabote ederek sistemleri kullanılamaz hale getirmesi gibi ciddi riskler yaratabilir. Bu güvenlik açığı, Yüksek olarak derecelendirilmiştir ve saldırının yerel erişim gerektirdiğini, ancak düşük karmaşıklıkta olduğunu ve saldırganların bunu nispeten kolayca istismar edebileceğini belirtir.   Etkilenen Ürünler ve Çözüm Yolları   Ürün Etkilenen Sürümler Düzeltme Yapılmış Sürümler SupportAssist for Home PCs 4.6.2'den önceki sürümler 4.6.2 veya daha yeni sürümler SupportAssist for Business PCs 4.5.1'den önceki sürümler 4.5.1 veya daha yeni sürümler Dell Technologies, bu güvenlik açığına yönelik riskleri azaltmak için kullanıcıların en kısa sürede düzeltme yapılmış sürümlere güncelleme yapmasını şiddetle önermektedir.   Riskleri Azaltmak İçin Atılması Gereken Adımlar SupportAssist'i Güncelleyin: Home PC kullanıcıları: 4.6.2 veya daha yeni sürümler Business PC kullanıcıları: 4.5.1 veya daha yeni sürümler Güncellemeler yalnızca Dell'in resmi bağlantıları üzerinden indirilmelidir. Güvenlik Önlemlerini Gözden Geçirin: Erişim kontrollerinin doğru yapılandırıldığından emin olun. Şüpheli etkinlikleri izleyin ve özellikle etkilenmiş sürümleri çalıştıran sistemleri kontrol edin. Düzenli Bakım Uygulayın: Yazılım güncellemeleri için düzenli kontroller yapın. Mevcut ve gelecekteki güvenlik açıklarının istismarını önlemek için tüm cihazların en son yamalarla güncel olduğundan emin olun.

Japan Airlines (JAL), Siber Saldırıya Uğradı

Şu ana kadar dokuz uçuş, sistem arızaları nedeniyle ertelendi ve daha fazla aksaklık bekleniyor. JAL sözcüsü, ek gecikmeler veya iptallerin yaşanabileceğini kabul etti, ancak etkinin boyutuna dair net detaylar vermedi. Bu olay, Japonya’nın havacılık sektöründe artan siber güvenlik tehditlerini bir kez daha gözler önüne seriyor. JAL, son dönemde siber saldırıya maruz kalan Japon şirketleri listesine katıldı. 2022 yılında, benzer bir saldırı, Toyota'nın bir tedarikçisinin operasyonlarını aksatmış ve Japonya’daki yerel fabrikalarda üretim bir günlüğüne durdurulmuştu. 2024 Haziran ayında, video paylaşım platformu Niconico, geniş çaplı bir siber saldırı nedeniyle hizmetlerini askıya almak zorunda kalmıştı. Havacılık Sektöründe Artan Tehditler JAL’a yapılan bu saldırı, küresel ölçekte kritik altyapı sektörlerindeki artan güvenlik açıklarını yansıtıyor. Havacılık sektörü, biletleme ve bagaj yönetimi gibi operasyonların dijital sistemlere bağımlılığı nedeniyle bu tür tehditlere karşı daha savunmasız durumda. Şirket, saldırının faili veya doğası hakkında detaylı bilgi paylaşmazken, siber güvenlik uzmanları ve yetkililerle iş birliği içinde çalıştıklarını belirtti. Uzmanlar, bu tür saldırıların hassas verileri tehlikeye atabileceği veya hayati hizmetleri aksatabileceği konusunda uyarıda bulunuyor. Bu siber saldırı, dijitalleşen dünyada kritik sektörlerin karşı karşıya kaldığı güvenlik açıklarının ciddiyetini bir kez daha hatırlatıyor.

Romanya Seçimlerine Siber Saldırı

Romanya Anayasa Mahkemesi, Rusya'nın seçimlere müdahale ettiği iddiaları üzerine tarihi bir karar alarak cumhurbaşkanlığı seçimlerinin ilk tur sonuçlarını iptal etti. Bu karar doğrultusunda, 8 Aralık 2024 tarihinde yapılması planlanan ikinci tur seçim gerçekleşmeyecek. İlk turu kazanan Călin Georgescu, kararı “resmileşmiş bir darbe” ve demokrasiye yapılan bir saldırı olarak nitelendirdi. Anayasa Mahkemesi tarafından yapılan açıklamada şu ifadelere yer verildi: "Romanya Cumhurbaşkanı'nın seçilmesine yönelik seçim süreci tamamen yeniden başlatılacak. Hükümet, cumhurbaşkanlığı seçiminin yeni tarihini ve gerekli eylemlerin uygulanması için yeni bir takvim programı belirleyecektir." Mahkeme, kararın Anayasa'nın 146(f) maddesine dayanarak alındığını ve seçim sürecinin adil ve yasal bir şekilde yürütülmesinin gerekliliğine vurgu yapıldığını belirtti. Kararın nihai ve bağlayıcı olduğu ifade edildi . Rus Müdahalesi İddiaları Bu karar, Romanya hükümetinin açıkladığı gizliliği kaldırılmış belgelerden günler sonra geldi. Belgelerde, TikTok’ta 25.000 hesaplı bir ağın Călin Georgescu’yu desteklemek için koordineli bir şekilde kullanıldığı ve bunun pro-Rusya etkisi taşıdığı iddia ediliyor. Bununla birlikte, Georgescu’nun bu kampanyadan haberdar olup olmadığı ya da destek verip vermediği belgelerden netleşmedi. Rusya ise seçim sürecine herhangi bir müdahalede bulunmadığını belirtti. Ayrıca, Romanya İstihbarat Servisi (SRI), seçimlerin ilk turu öncesinde ve sırasında 85.000'den fazla siber saldırı girişimi tespit edildiğini açıkladı. Bu girişimlerin amacı, seçim web siteleri ve BT sistemlerine erişim sağlamaktı. SRI, saldırıların ölçeği ve operasyon şeklinin, "devlet destekli bir saldırgana özgü geniş kaynakların kullanıldığını" gösterdiğini belirtti.   Uluslararası Tepkiler ABD Dışişleri Bakanlığı Sözcüsü Matthew Miller, şu açıklamada bulundu: "Rumen halkı, seçimlerinin demokratik iradelerini yansıttığından ve adil bir şekilde yabancı kötü niyetli etkilerden arındırıldığından emin olmalıdır." Avrupa Komisyonu ise TikTok’a yönelik gözetimlerini artırdığını ve platformdan "seçim süreçlerine ve toplumsal söyleme yönelik sistemik riskler taşıyabilecek verilerin dondurulması ve korunması" talebinde bulundu. Komisyon ayrıca TikTok’tan: Öneri sistemlerinin tasarımı ve işleyişine ilişkin iç belgeleri, Koordineli sahte davranışlar (CIB) yoluyla manipülasyon risklerine karşı aldıkları önlemleri açıklamalarını istedi.   TikTok’un Müdahalesi ve Araştırmalar TikTok, Kasım 2024’ün sonlarında iki küçük ağ tespit ettiğini duyurdu. Ağlardan biri 78 hesap, diğeri ise 12 hesaptan oluşuyordu ve bu hesaplar Georgescu ve bağımsız aday Mircea Geoană lehine kampanya yürütüyordu. Eylül ayında ise platform, Romanya’dan faaliyet gösteren ve hükümet karşıtı anlatıları yaymak için sahte hesaplar kullanan 22 hesabı kapattığını duyurdu. Bu ağın toplamda 300.000 takipçisi bulunuyordu. TikTok tarafından yapılan açıklamada şu ifadeler yer aldı: "Romanya seçimlerini hedefleyen ağlar, TikTok üzerinde küçük ölçekli, ülke içinde koordine edilmiş operasyonlar şeklinde tespit edilmiştir. Platform dışı faaliyetleri de yakından takip ederek gizli etki operasyonlarını ve yanıltıcı davranışları önlemeye çalışıyoruz." Avrupa Komisyonu, TikTok’u Resmen Soruşturuyor 17 Aralık 2024 tarihinde Avrupa Komisyonu, TikTok’un Dijital Hizmetler Yasası’nı (DSA) ihlal edip etmediğine dair resmi bir soruşturma başlattığını duyurdu. Avrupa Komisyonu Başkanı Ursula von der Leyen, şu açıklamada bulundu: "Romanya cumhurbaşkanlığı seçimlerine yabancı aktörlerin TikTok üzerinden müdahale ettiğine dair ciddi belirtiler sonrasında, TikTok’un Dijital Hizmetler Yasası’nı ihlal edip etmediğini detaylı bir şekilde araştırıyoruz." Bu olay, seçim güvenliğinin dijital dünyada ne kadar kritik olduğunu ve sosyal medya platformlarının siyasi manipülasyonlar için nasıl araçsallaştırılabileceğini bir kez daha gözler önüne seriyor. Romanya’nın seçim sürecinin yeniden başlatılması, ülke demokrasisi ve dijital güvenlik açısından önemli bir dönüm noktası olarak tarihe geçti.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Geçmiş Bültenlerimizi Blog Adresimizden Takip Edebilirsiniz

Siber Güvenlik Bülteni - Kasım 2024

 

Bültenimizin Kasım Ayı konu başlıkları;  Citrix ve Fortinet Kritik Güvenlik Açıklarını Gideren Yamalar Yayınladı MITRE, 2024 Yılı için En Kritik 25 Yazılım Güvenlik Açığını Açıkladı Beş Fidye Yazılım Grubu, Tüm Saldırıların %40'ından Sorumlu 145.000 Korunmasız Endüstriyel Kontrol Sistemi (ICS) Cihazı Tehlikede 2023’ün En Çok İstismar Edilen Güvenlik Açıkları: 400.000 Sistem Tehlikede

Citrix ve Fortinet Kritik Güvenlik Açıklarını Gideren Yamalar Yayınladı

Citrix ve Fortinet, ürünlerinde tespit edilen yüksek öneme sahip güvenlik açıklarını gidermek için yeni güvenlik yamaları yayınladı. Bu açıklar, siber saldırganların sistemlere yetkisiz erişim sağlamasına ve hassas verilere ulaşmasına yol açabilecek potansiyel riskler içeriyor. Citrix Ürünlerinde Güvenlik Açıkları Citrix, NetScaler ADC (Application Delivery Controller) ve NetScaler Gateway ürünlerini etkileyen güvenlik açıklarını gidermek için güncellemeler yayınladı. Bu açıklar, şirket tarafından CVE-2023-4966 ve CVE-2023-4967 olarak izleniyor. CVE-2023-4966: Bu güvenlik açığı, yetkisiz bir saldırganın NetScaler cihazlarının yönetici arabirimine erişmesine olanak tanıyabilir. Açığın etkili olabilmesi için cihazın yönetim konsolunun internete açık olması gerekiyor. CVE-2023-4967: Bu açık, kimliği doğrulanmamış bir saldırganın belirli trafik yönlendirme senaryolarında hedef sistemde bilgi sızdırmasına olanak tanıyabilir. Citrix’in Tavsiyeleri: Citrix, etkilenen tüm sürümler için gerekli yamaların uygulanmasını ve özellikle yönetim arayüzünün internete açık olmamasını öneriyor. Ayrıca, yalnızca güvenilir ağlardan erişime izin verilmesi gerektiğini vurguluyor. Fortinet Ürünlerinde Güvenlik Açıkları Fortinet, FortiOS ve FortiProxy ürünlerini etkileyen yüksek öneme sahip bir güvenlik açığını yamaladı. Bu açık, CVE-2023-29183 olarak izleniyor ve saldırganların sistemde uzaktan kod çalıştırmasına olanak tanıyabilir. CVE-2023-29183: Bu açık, özel olarak hazırlanmış HTTP/HTTPS istekleriyle tetiklenebiliyor ve saldırganlara cihaz üzerinde kontrol sağlama imkanı tanıyabiliyor. Fortinet’in Tavsiyeleri: Fortinet, tüm kullanıcılarına FortiOS ve FortiProxy’nin güncellenmiş sürümlerini kullanmalarını öneriyor. Ayrıca, cihazların doğrudan internete maruz bırakılmaması gerektiğini ve güvenlik duvarı kurallarının sıkı bir şekilde yapılandırılmasını tavsiye ediyor. Riskler ve Alınması Gereken Önlemler Bu güvenlik açıkları, hem Citrix hem de Fortinet kullanıcılarını ciddi risklerle karşı karşıya bırakabilir. Özellikle, uzaktan kod çalıştırma ve yetkisiz erişim gibi potansiyel tehditler, sistem güvenliğini ciddi şekilde zayıflatabilir. Kullanıcılar için öneriler: Sistemleri Güncelleyin: İlgili ürünlerin en son sürümlerine güncelleme yapın. Ağ Güvenliğini Sağlayın: Yönetim arayüzlerini yalnızca güvenilir ağlardan erişilebilir hale getirin ve doğrudan internete maruz bırakmayın. Düzenli İzleme Yapın: Şüpheli trafik veya girişimlere karşı sistem loglarını düzenli olarak kontrol edin. Siber Güvenlik Eğitimleri Verin: Kullanıcıları sosyal mühendislik saldırılarına karşı eğiterek farkındalıklarını artırın. Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bu zafiyetlerden etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın. Bizi arayın: 0216 450 25 94 [email protected]

MITRE, 2024 Yılı için En Kritik 25 Yazılım Güvenlik Açığını Açıkladı

Siber güvenlik dünyasının önde gelen kuruluşlarından MITRE, her yıl yayınladığı CWE Top 25 En Tehlikeli Yazılım Hataları listesinin 2024 sürümünü duyurdu. Bu liste, yazılım geliştirme süreçlerinde karşılaşılan ve siber tehditlere kapı aralayan en kritik zayıflıkları özetliyor. CWE Top 25 Nedir? Common Weakness Enumeration (CWE) programı kapsamında hazırlanan bu liste, yazılım hatalarının hangi riskleri oluşturduğunu ve saldırganların bu açıkları nasıl kullanabileceğini gösteriyor. Liste, Ulusal Güvenlik Açıkları Veri Tabanı (NVD) ve diğer güvenlik kaynaklarından elde edilen veriler kullanılarak oluşturuluyor. MITRE, yazılım geliştiricilere ve güvenlik ekiplerine bu zayıflıkları önlemeye yönelik rehberlik etmeyi amaçlıyor. Listedeki açıklar, genellikle saldırganlar tarafından veri çalma, sistem kontrolü sağlama veya operasyonel aksamalar yaratmak için kullanılıyor. 2024 Yılının Öne Çıkan Açıkları Listenin başında, uzun süredir popülerliğini koruyan güvenlik açıkları yer alıyor. İşte en tehlikeli zayıflıklardan bazıları: SQL Enjeksiyonu (CWE-89): Veritabanlarına yapılan saldırılarda kullanılan bu yöntem, saldırganlara kritik verilere erişim imkanı tanıyabiliyor. Karmaşık Giriş Doğrulama Hataları (CWE-287): Kimlik doğrulama eksiklikleri, saldırganların yetkisiz erişim sağlamasına neden olabiliyor. Çapraz Site Komut Dosyası Çalıştırma (XSS) (CWE-79): Saldırganlar, kullanıcıların tarayıcılarında zararlı kod çalıştırarak oturum çalma ve veri sızdırma işlemleri gerçekleştirebiliyor. Yetkilendirme Hataları (CWE-862): Sistemlerdeki yanlış yetkilendirme uygulamaları, hassas işlemlerin saldırganlar tarafından gerçekleştirilebilmesine neden oluyor. Hatalı Giriş Kontrolü (CWE-20): Kullanıcı girişlerinin doğru bir şekilde doğrulanmaması, sistemde beklenmedik hatalara ve güvenlik açıklarına yol açabiliyor. Listeye Dahil Edilen Yeni Açıklıklar 2024 listesi, önceki yıllara göre bazı yeni ve dikkat çekici zayıflıkları da içeriyor. Özellikle modern yazılım geliştirme tekniklerinde sık karşılaşılan hatalar, saldırı yüzeyini genişletiyor: JSON Web Token (JWT) Manipülasyonu (CWE-346): Bu açık, kimlik doğrulama sistemlerinde ciddi güvenlik riskleri yaratabiliyor. Bulut Hizmetleri Yanlış Yapılandırmaları (CWE-944): Özellikle bulut ortamlarında görülen yapılandırma hataları, hassas verilerin sızdırılmasına neden oluyor. Tam Liste   Rank ID Name Score CVEs in KEV Rank Change vs. 2023 1 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 56.92 3 +1 2 CWE-787 Out-of-bounds Write 45.20 18 -1 3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 35.88 4 0 4 CWE-352 Cross-Site Request Forgery (CSRF) 19.57 0 +5 5 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 12.74 4 +3 6 CWE-125 Out-of-bounds Read 11.42 3 +1 7 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 11.30 5 -2 8 CWE-416 Use After Free 10.19 5 -4 9 CWE-862 Missing Authorization 10.11 0 +2 10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.03 0 0 11 CWE-94 Improper Control of Generation of Code ('Code Injection') 7.13 7 +12 12 CWE-20 Improper Input Validation 6.78 1 -6 13 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 6.74 4 +3 14 CWE-287 Improper Authentication 5.94 4 -1 15 CWE-269 Improper Privilege Management 5.22 0 +7 16 CWE-502 Deserialization of Untrusted Data 5.07 5 -1 17 CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 5.07 0 +13 18 CWE-863 Incorrect Authorization 4.05 2 +6 19 CWE-918 Server-Side Request Forgery (SSRF) 4.05 2 0 20 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 3.69 2 -3 21 CWE-476 NULL Pointer Dereference 3.58 0 -9 22 CWE-798 Use of Hard-coded Credentials 3.46 2 -4 23 CWE-190 Integer Overflow or Wraparound 3.37 3 -9 24 CWE-400 Uncontrolled Resource Consumption 3.23 0 +13 25 CWE-306 Missing Authentication for Critical Function 2.73 5 -5 Açıkların Etkileri Bu güvenlik açıkları, hem bireysel kullanıcıları hem de kurumsal sistemleri hedef alıyor. Açıklardan yararlanan saldırganlar, sistemlerde veri sızdırma, hizmet kesintisi ve kötü amaçlı yazılım bulaştırma gibi sonuçlara yol açabiliyor. Özellikle kritik altyapı ve finans sektörleri gibi hassas alanlarda bu tür açıklar büyük kayıplara neden olabiliyor. Yazılım Geliştiriciler ve Güvenlik Ekipleri İçin Tavsiyeler Kod İncelemeleri ve Testler: Yazılım geliştiriciler, kodlarını düzenli olarak güvenlik testlerinden geçirmeli ve açık kaynak kütüphaneleri dikkatli bir şekilde kullanmalıdır. Güvenlik Eğitimleri: Geliştirme ekiplerine güvenli kodlama teknikleri konusunda eğitimler verilmelidir. Otomatik Araçlar Kullanın: Statik ve dinamik analiz araçları, güvenlik açıklarını erken tespit etmeye yardımcı olabilir. Güncel Kalın: Yazılım geliştirme trendlerini ve yeni açıklık türlerini takip ederek mevcut sistemler güncellenmelidir.

Beş Fidye Yazılım Grubu, Tüm Saldırıların %40'ından Sorumlu

Siber güvenlik dünyasında, fidye yazılımlarının artan tehdidi ve bu saldırıları gerçekleştiren grupların etkisi dikkat çekiyor. Yeni bir rapor, yalnızca beş fidye yazılım grubunun, dünya genelinde tüm fidye yazılım saldırılarının %40'ını gerçekleştirdiğini ortaya koyuyor. Rapordan Öne Çıkanlar Son yapılan analizler, fidye yazılım gruplarının organizasyonlara yönelik saldırılarının giderek daha koordineli ve etkili hale geldiğini gösteriyor. Bu gruplar arasında LockBit, BlackCat, Black Basta, Clop ve Royal en aktif olanlar arasında yer alıyor. Bu gruplar, kurbanlarının kritik verilerini şifrelemekle kalmıyor, aynı zamanda çalınan verileri ifşa etmekle tehdit ederek ek bir baskı unsuru yaratıyor. "Çifte şantaj" olarak bilinen bu yöntem, fidye yazılım saldırılarında yaygın bir taktik haline gelmiş durumda. En Aktif Fidye Yazılım Grupları LockBit: Dünyanın en aktif fidye yazılım grubu olarak bilinen LockBit, geniş hedef yelpazesi ve gelişmiş şifreleme teknikleriyle tanınıyor. Bu grup, özellikle sağlık sektörü ve kamu hizmetleri gibi hassas alanları hedef alıyor. BlackCat (ALPHV): BlackCat, yenilikçi saldırı teknikleri ve karmaşık yapısıyla diğerlerinden ayrılıyor. Bu grup, genellikle büyük ölçekli şirketleri hedef alıyor ve yüksek miktarda fidye talep ediyor. Black Basta: Black Basta, hızla yükselen bir tehdit olarak dikkat çekiyor. Özellikle finans ve teknoloji sektöründeki kuruluşlara yönelik saldırılarıyla biliniyor. Clop: Clop, genellikle veri sızıntılarına odaklanıyor ve kurbanlarının gizli verilerini ifşa etmekle tehdit ederek fidye ödemelerini artırmayı hedefliyor. Royal: Yeni sayılabilecek bir grup olmasına rağmen Royal, sofistike saldırı teknikleriyle kısa sürede etkili bir tehdit haline geldi. Fidye Yazılım Saldırılarının Etkileri Fidye yazılım saldırıları, yalnızca finansal kayıplara değil, aynı zamanda itibar zedelenmesine, operasyonel aksamalara ve veri gizliliği ihlallerine de yol açıyor. Rapora göre, fidye talepleri genellikle milyonlarca dolar seviyesinde olup, ödemeler gerçekleştirilse dahi çoğu zaman çalınan verilerin tamamen geri alınması mümkün olmuyor. Kurumlar İçin Korunma Yolları Güçlü Yedekleme Stratejileri: Kritik verilerin düzenli olarak yedeklenmesi ve bu yedeklerin çevrimdışı bir ortamda saklanması, fidye yazılım saldırılarına karşı önemli bir savunma katmanıdır. Güncellemeleri ve Yamaları Uygulayın: Sistemlerdeki ve yazılımlardaki güvenlik açıklarını kapatmak için güncellemeler düzenli olarak uygulanmalıdır. Çalışan Eğitimleri: Çalışanların, sosyal mühendislik ve kimlik avı saldırılarına karşı eğitilmesi, insan kaynaklı hataları en aza indirebilir. Gelişmiş Güvenlik Çözümleri: Fidye yazılım saldırılarını tespit eden ve önleyen tehdit avı sistemleri ve EDR (uç nokta algılama ve yanıt) çözümleri kullanılmalıdır. Unutmayın: Fidye yazılım saldırılarına karşı alınacak proaktif önlemler, saldırının gerçekleşmesinden çok daha az maliyetli ve etkili olacaktır.

145.000 Korunmasız Endüstriyel Kontrol Sistemi (ICS) Cihazı Tehlikede

Siber güvenlik uzmanları, dünya genelinde 145.000'den fazla korunmasız Endüstriyel Kontrol Sistemi (ICS) cihazının internete açık durumda olduğunu tespit etti. Bu cihazlar, saldırganların hedef alabileceği kritik altyapı sistemlerinin temel taşlarını oluşturuyor ve büyük güvenlik riskleri yaratıyor. ICS Cihazları Nedir ve Neden Önemlidir? Endüstriyel Kontrol Sistemleri (ICS), enerji santralleri, su arıtma tesisleri, üretim hatları ve diğer kritik altyapıların işleyişini kontrol eden teknolojik sistemlerdir. Bu cihazlar, operasyonların verimli ve güvenli bir şekilde yürütülmesini sağlar. Ancak korunmasız bir şekilde internete açık bırakıldıklarında, siber saldırganlar bu sistemlere yetkisiz erişim sağlayarak: Operasyonel kesintilere, Fiziksel zarar riskine, Veri hırsızlığına, Fidye yazılım saldırılarına yol açabilir. Araştırmanın Detayları Siber güvenlik araştırmacıları, dünya genelinde bu cihazların büyük bir kısmının temel güvenlik önlemlerinden yoksun olduğunu ortaya koydu: Şifre Koruması Eksikliği: Çoğu cihaz, varsayılan veya hiç şifre kullanılmadan erişime açık durumda. Ağ Güvenliği Eksikliği: Güvenlik duvarı ya da ağ segmentasyonu kullanılmadan, cihazlar doğrudan internete bağlanmış. Eski ve Güncellenmemiş Sistemler: Yazılım güncellemeleri yapılmayan bu cihazlar, eski güvenlik açıklarına karşı savunmasız durumda. Bu cihazlar arasında enerji, sağlık, su ve atık yönetimi gibi kritik sektörlere ait sistemlerin bulunduğu belirtildi. Hangi Bölgeler Daha Fazla Risk Altında? Araştırma, korunmasız ICS cihazlarının coğrafi dağılımını da ortaya koydu: ABD ve Avrupa: En fazla korunmasız cihaz bu bölgelerde tespit edildi. Bu durum, sanayileşmiş ülkelerdeki kritik altyapıların daha büyük bir risk altında olduğunu gösteriyor. Asya ve Afrika: Gelişmekte olan bölgelerde, eski ve zayıf güvenlik protokolleri kullanılan cihazların yoğunluğu dikkat çekiyor. Saldırı Senaryoları ve Riskler Korunmasız ICS cihazları, saldırganlar için cazip hedefler oluşturuyor. Olası senaryolar: Operasyonel Kesintiler: Saldırganlar, enerji veya üretim hatlarını devre dışı bırakarak büyük ekonomik kayıplara neden olabilir. Fidye Yazılım Saldırıları: Sistemlerin kilitlenmesi ve yeniden çalıştırılması için fidye talepleriyle karşılaşılabilir. Fiziksel Hasar: Özellikle enerji ve su altyapılarına yapılan saldırılar, fiziksel zararlara ve toplumda kaosa neden olabilir. Veri Hırsızlığı: Kritik altyapılara ait verilerin çalınması, ulusal güvenlik riskleri yaratabilir. Alınması Gereken Önlemler Korunmasız ICS cihazlarının oluşturduğu riskleri azaltmak için aşağıdaki adımların atılması öneriliyor: Güçlü Şifreleme ve Kimlik Doğrulama: Varsayılan şifrelerin değiştirilmesi ve çok faktörlü kimlik doğrulama uygulanması. Ağ Segmentasyonu: ICS cihazlarının internete doğrudan bağlanmasını engellemek ve güvenli ağ segmentleri oluşturmak. Düzenli Güncellemeler: Yazılım ve donanım güncellemelerinin düzenli olarak uygulanması. Siber Güvenlik Eğitimleri: Kritik altyapı çalışanlarının güvenlik farkındalığını artırmak. Sürekli İzleme: ICS cihazlarının anormal aktiviteler için sürekli olarak izlenmesi. Gelişmiş teknolojilerle desteklenen güçlü siber güvenlik protokolleri, bu tür tehditlere karşı ilk savunma hattını oluşturacaktır. Unutmayın: Her korunmasız cihaz, bir saldırı fırsatıdır!

2023’ün En Çok İstismar Edilen Güvenlik Açıkları: 400.000 Sistem Tehlikede

Siber güvenlik uzmanları, 2023 yılında en çok istismar edilen güvenlik açıklarını analiz ederek, dünya genelinde 400.000’den fazla sistemin bu açıklar nedeniyle risk altında olduğunu ortaya koydu. Bu durum, şirketlerin ve bireylerin güvenlik yamalarını uygulamadaki gecikmeleri ve tehdit farkındalığındaki eksiklikleri gözler önüne seriyor. En Çok İstismar Edilen Açıklar Hangileri? Rapora göre, saldırganlar tarafından 2023'te en çok hedef alınan açıklar şunlar: CVE-2022-40684: Fortinet ürünlerindeki bir kimlik doğrulama bypass açığı. Saldırganlar, bu açık sayesinde yönetici düzeyinde yetki elde edebiliyor. CVE-2021-26084: Atlassian Confluence’de bulunan bir açık. Bu açık, uzaktan kod yürütme saldırılarına imkan tanıyor. CVE-2022-22963 ve CVE-2022-22965: Spring Framework açıkları, Java tabanlı uygulamalarda saldırganların sistem kontrolü sağlamasına olanak tanıyor. CVE-2022-1388: F5 BIG-IP cihazlarında bulunan kritik bir açık, saldırganlara sistem üzerinde tam kontrol sağlıyor. Bu açıkların ortak noktası, saldırganların düşük maliyetle büyük etki yaratmasını sağlayan kolay erişilebilirlik ve kritik sistemlere doğrudan erişim imkanı sunmaları. Risk Altındaki Sistemlerin Profili Güvenlik açıkları, özellikle aşağıdaki sistemlerde yaygın olarak tespit edildi: Fortinet ve F5 BIG-IP: Kurumsal ağların güvenliğini sağlamak için kullanılan cihazlar, siber suçlular için cazip hedefler oluşturuyor. Atlassian Confluence: Şirketlerin iş birliği araçlarında kullanılan bu platform, kritik bilgilerin barındırıldığı bir merkez olarak saldırganların ilgisini çekiyor. Spring Framework: Java tabanlı uygulamalarda yaygın olarak kullanılan bu framework, çok sayıda uygulamayı etkileyen açıklarıyla dikkat çekiyor. Saldırılar ve Etkileri Saldırganlar bu açıkları kullanarak: Fidye Yazılımı Saldırıları: Kritik verilere erişim sağlayarak sistemleri kilitliyor ve fidye talep ediyorlar. Veri Hırsızlığı: Hassas bilgileri ele geçirerek hem maddi kazanç hem de itibar kaybına neden olabiliyorlar. Botnet ve DDoS Saldırıları: Etkilenen cihazları ele geçirip daha büyük saldırılar için bir botnet ağına dönüştürüyorlar. Açıkların Bu Kadar Yaygın Olmasının Sebebi Nedir? Yavaş Yama Uygulamaları: Şirketlerin güvenlik yamalarını zamanında uygulamaması, saldırganlara hareket alanı sağlıyor. Güvenlik Farkındalığının Düşük Olması: Kullanıcılar ve IT ekipleri, kritik güvenlik açıkları hakkında yeterince bilgi sahibi değil. Eski Sistemler: Güncellenmeyen ve desteklenmeyen sistemler, modern saldırılar karşısında savunmasız kalıyor. Kurumlar ve Kullanıcılar İçin Tavsiyeler Güvenlik Yamalarını Hızlı Uygulayın: Özellikle yüksek riskli sistemlerde, yamaların hızlı bir şekilde uygulanması kritik önem taşır. Zayıf Noktaları Sürekli Tarayın: Güvenlik açıklarını tespit etmek için düzenli olarak sistem taramaları gerçekleştirin. Saldırı İzleme ve Yanıt Sistemleri: Sistemlere yönelik anormal davranışları izleyebilen ve otomatik yanıt verebilen çözümleri entegre edin. Güvenlik Eğitimleri: IT ekiplerini ve çalışanları, siber güvenlik riskleri ve açıkların nasıl önleneceği konusunda eğitin. Sistem Segmentasyonu: Ağları bölümlere ayırarak, kritik sistemlere yetkisiz erişimi engelleyin. Sonuç 2023’ün en çok istismar edilen güvenlik açıkları, şirketlerin ve bireylerin siber güvenlik konusundaki eksikliklerini ortaya koyuyor. Dünya genelinde 400.000’den fazla sistemin risk altında olması, bu sorunun ciddiyetini bir kez daha hatırlatıyor. Unutmayın: Her güvenlik açığı, saldırganlar için bir fırsattır. Güvenlik yamalarını hızlı bir şekilde uygulamak ve sistemlerinizi sürekli izlemek, bu tür tehditlere karşı en etkili savunma yöntemidir.

Ve Tüm Bu Siber Saldırılara Karşı TINA Çözümlerimiz;

Bültenimizde yer alan haberlerdeki problemlerin temel çözümü olarak geliştirdiğimiz son teknolojimizle tanıştınız mı? Uzaktan erişim gereksinimlerinizin sonucunda ortaya çıkan risklerinizi sıfıra kadar indiren, ek bir güvenlik katmanı olarak esnek erişim kontrolünü sağlayan son ZTNA teknolojimizi tanımanızı isteriz. Bizi arayın: 0216 450 25 94 [email protected] En son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ONLINE TANITIM talebinizi buradan da başlatabilirsiniz.

Geçmiş Bültenlerimizi Blog Adresimizden Takip Edebilirsiniz