İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2020 36.Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

36.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Cisco, IOS XR Sıfır Gün Kusurunun Vahşi Ortamda Hedeflenmesiyle İlgili Uyardı

TARİH: 1 Eylül 2020

Cisco, yönlendirici yazılımında vahşi ortamda istismar edilen ve uzaktan, kimliği doğrulanmış bir saldırganın etkilenen bir cihazda bellek tükenmesi saldırıları gerçekleştirmesine izin verebilecek aktif bir sıfır gün güvenlik açığı konusunda uyarıda bulundu.

Cisco geçtiğimiz haftalarda yayınladığı bir danışma belgesinde “Bir saldırgan, etkilenen bir cihaza hazırlanmış IGMP trafiği göndererek bu güvenlik açıklarından yararlanabilir. Açıklardan başarılı bir şekilde yararlanma, saldırganın bellek tükenmesine yol açarak diğer işlemlerin kararsızlığına neden olabilir. Bu işlemler iç ve dış yönlendirme protokollerini içerebilir, ancak bunlarla sınırlı değildir. " dedi.

Şirket, kusuru gidermek için yazılım düzeltmeleri yayınlayacağını söylemesine rağmen, onu ne zaman kullanıma sunmayı planladığına dair bir zaman çizelgesi paylaşmadı. Ağ donanımı üreticisi, 28 Ağustos'ta kusurdan yararlanma girişimlerinin farkına vardığını söyledi.

CVE-2020-3566 olarak izlenen güvenlik açığının ciddiyeti, Ortak Güvenlik Açığı Puanlama Sistemi puanı maksimum 8,6 ile "yüksek" olarak derecelendirildi.

IGMP, genellikle çevrimiçi video akışı ve oyun gibi akış içeriğini desteklerken çok noktaya yayın uygulamaları için kaynakları verimli bir şekilde kullanmak için kullanılır. Kusur, IOS XR Yazılımının bu paketleri kuyruğa alma biçiminde yatıyor ve potansiyel olarak bellek tükenmesine ve diğer işlemlerin kesintiye uğramasına neden oluyor. Sorunu çözmek için herhangi bir geçici çözüm bulunmamakla birlikte, Cisco, yöneticilere çok noktaya yayın yönlendirmesinin etkin olup olmadığını belirlemek için "show igmp interface" komutunu çalıştırmalarını önerir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Cisco Jabber Hatası, Bilgisayar Korsanlarının Windows Sistemlerini Uzaktan Hedeflemesine İzin Verebilir

TARİH: 3 Eylül 2020

Ağ donanımı üreticisi Cisco, Windows için Jabber video konferans ve mesajlaşma uygulamasının, birden çok güvenlik açığı bulunması nedeniyle yamalar içeren yeni bir sürümünü yayınladı. Zafiyet kötüye kullanılırsa, kimliği doğrulanmış, uzaktaki bir saldırganın rasgele kod yürütmesine izin verebilir.

Norveçli siber güvenlik firması Watchcom tarafından bir pentest sırasında ortaya çıkan kusurlar, Jabber istemcisinin şu anda desteklenen tüm sürümlerini ( 12.1-12.9) etkiledi ve o zamandan beri şirket tarafından düzeltildi.

Dört kusurdan ikisi, grup konuşmalarında veya belirli kişilerde özel olarak hazırlanmış sohbet mesajları göndererek hedef sistemlerde uzaktan kod yürütme (RCE) elde etmek için kullanılabilir.

Paketin en ciddi olanı, bir saldırgan tarafından kötü amaçla oluşturulmuş Genişletilebilir Mesajlaşma ve Durum Protokolü ( XMPP ) mesajları göndererek kullanılabilecek mesaj içeriklerinin uygunsuz şekilde doğrulanmasından kaynaklanan bir kusurdur (CVE-2020-3495, CVSS skoru 9.9).

Cisco yayınlanan bir danışma belgesinde , "Başarılı bir açıktan yararlanma, saldırganın, uygulamanın hedeflenen sistemde, Cisco Jabber istemci yazılımını çalıştıran kullanıcı hesabının ayrıcalıklarıyla rastgele programlar yürütmesine ve muhtemelen keyfi kod yürütülmesine neden olmasına olanak verebilir," dedi.

Geliştirme, Cisco'nun IOS XR yönlendirici yazılımında aktif olarak kullanılan sıfır gün hatası konusunda uyarıda bulunmasından günler sonra geliyor.

Jabber'daki diğer üç kusur (CVE-2020-3430, CVE-2020-3498, CVE-2020-3537) kötü amaçlı komutlar enjekte etmek ve kullanıcıların NTLM şifre karmalarını gizlice toplama olasılığı dahil olmak üzere bilgilerin açığa çıkmasına neden olmak için kullanılabilir.

Pandeminin ardından video konferans uygulamalarının popüler hale gelmesiyle birlikte, Jabber kullanıcılarının riski azaltmak için yazılımın en son sürümüne güncelleme yapması önemlidir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz

Haber Yazısı 3

Evilnum Bilgisayar Korsanları Yeni Python Tabanlı RAT ile Finans Firmalarını Hedef Alıyor

TARİH: 4 Eylül 2020

2018'den beri fintech sektörünü hedeflediği bilinen bir düşman, taktiklerini -şifreleri, belgeleri, tarayıcı çerezlerini, e-posta kimlik bilgilerini ve diğer hassas bilgileri çalabilen- yeni bir Python tabanlı uzaktan erişim Truva Atı'nı (RAT) içerecek şekilde değiştirdi.

Cybereason araştırmacıları tarafından yayınlanan bir analizde, Evilnum grubu yalnızca enfeksiyon zincirini değiştirmekle kalmadı, aynı zamanda bilgi toplama, ekran görüntüsü alma, tuş vuruş verilerini yakalama ve bir SSH kabuğu açma yeteneklerine sahip "PyVil RAT" adlı bir Python RAT kurdu.

Siber güvenlik araştırmacıları 2018'den bugüne kadar ilk raporlardan bu yana, grubun TTP (teknik, taktik, prosedür)’leri farklı araçlarla gelişirken, grup fintech hedeflerine odaklanmaya devam ettiğini söyledi.

Temmuz ayında APT grubunun, yazılım lisanslarını, müşteri kredi kartı bilgilerini, yatırım bilgilerini ve ticaret belgelerini çalmak için Google Drive'da barındırılan bir ZIP dosyasına bağlantı içeren hedef kimlik avı e-postalarına sahip şirketleri hedeflediği tespit edildi. Tehdit altındaki sistemde bir ilk dayanak noktası kazanma yöntemi aynı kalırken, enfeksiyon prosedürü büyük bir değişime tanık oldu.

APT'nin teknikleri gelişmeye devam ederken, işletmelerin tetikte kalması ve çalışanların e-postalarını kimlik avı girişimlerine karşı izlemesi ve bilinmeyen gönderenlerden gelen e-postaları ve ekleri açmaya gelince dikkatli olmaları çok önemlidir.

*APT(Advanced Persistent Threat: Gelişmiş kalıcı tehdit)

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. Cisco/IOS
  2. Cisco/Jabber
  3. RAT