EN
EN

2019 16. Hafta Siber Güvenlik Haberleri


Haber Yazısı 1

Fransız Hükümeti’nin Yeni Güvenli Mesajlaşma Uygulamasına Beyaz Şapkalı Bir Hacker Tarafından Sızıldı

TARİH: 19 Nisan 2019

“Tchap” olarak adlandırılan açık kaynak ve uçtan uca şifreli mesajlaşma uygulaması, Fransız yetkilileri, milletvekilleri ve bakanlarına ait verilerin yabancı kurumlar tarafından kullanılabileceği endişesi ile verileri ülke içindeki sunucularda tutmak amacıyla geliştirilmiştir.

Beyaz şapkalı bir hacker, sadece devlet kimlikleriyle ilişkili e-posta hesapları olan yetkililer ve politikacılar tarafından erişilebilen Fransız hükümetinin yeni başlattığı bu güvenli mesajlaşma uygulamasına girmenin bir yolunu buldu.

Tchap uygulaması, uçtan uca şifreli iletişim için Matrix protokolünü uygulayan açık kaynaklı bir anlık mesajlaşma yazılımı olan Riot istemcisi kullanılarak oluşturulmuştur.

Fransız güvenlik araştırmacısı olan Robert Baptiste, herhangi birinin Tchap uygulamasıyla bir hesap açmasına ve resmi bir e-posta adresi gerektirmeden gruplara ve kanallara erişmesine izin verebilecek bir güvenlik zafiyeti bulmuştur. Robert bulgularını, ekibe göre yalnızca DINSIC matris dağıtımına özgü olan sorunu çözmek için bir yama güncellemesi yayınlayan Matrix ekibine bildirmiştir. [1]

Haber Yazısı 2

İran’lı Hacker Gruplarından Türkiye’nin de İçinde Bulunduğu 16 Ülkeye Siber Saldırı Gerçekleştirildi

TARİH: 18 Nisan 2019

İranlı hacker'ların, Türkiye, ABD, Kanada, İsrail, Hindistan, Katar, Kuveyt, Meksika, Pakistan, Suudi Arabistan, Birleşik Arap Emirlikleri, Fransa, İngiltere, Çin ve Güney Kore’ye karşı siber saldırı düzenleyerek devletlerin gizli bilgilerini ele geçirmeye çalıştığı belirtildi. California merkezli bir güvenlik firması olan Cylance tarafında yapılan araştırmalara göre İran, 16 ülkede enerji, ulaşım, sağlık gibi kritik öneme sahp 50 noktaya siber saldırı gerçekleştirdi.

İranlı hackerların özellikle aralarında Güney Kore, Suudi Arabistan ve Pakistan'ın da bulunduğu bazı ülkelerdeki hava yollarının uçak hareket saatlreri ve güvenlik sistemini değiştirip insanları yanıltmaya çalıştığı kaydedildi.

İran Hükümetine bağlı olan OilRig, APT34 veya HelixKitten olarakbilinen hacker gruplarına ait bazı işleyiş bilgileri ve hack araçları sızdırıldı. Mart ayının ortasından itibaren sızdırılan bilgiler Lab Dookhtegan takma adına sahip bir kişi tarafından Telegram kanalından yayınlandı. APT34’ün kurbanlarına ait kullanıcı adı ve konbinasyonları yayınlanan bilgiler arasındaydı.

Kaspersky’de araştırmacı olan Alexey Firsch konuyla ilgili yaptığı çalışmanın sonuçlarını paylaştığı tweetinde Dookhtegan’ın açıkladığı 117 web shell URL’ini yayınladı. Listede Türkiye’ye ait 3 kurumunda bulunduğu 66 kurumdan veri sızdırıldı. Sızdırılan bilgiler arasında İran İstihbarat Bakanlığı için çalışan bazı kişilerin isim ve ve telefon numaraları da yer alıyor.

Haber Yazısı 3

Drupal, Birkaç Güvenlik Açığını Düzeltmek İçin Çekirdek CMS Güncelleştirmeleri Yayınladı

TARİH : 17 Nisan 2019

Popüler açık kaynaklı içerik yönetim sistemi olan Drupal, Drupal Core'daki saldırganların yüz binlerce web sitesinin güvenliğini tehlikeye sokmasına izin verebilecek birden fazla "orta derecede kritik" güvenlik açığını gidermek için güvenlik güncelleştirmeleri yayımladı.

Drupal geliştiricileri tarafından açıklanan önerilere göre Drupal güvenlik açıkları, Drupal 8.6, Drupal 8.5 ve Drupal 7’deki üçüncü taraf kütüphanelerde bulunmaktadır. Güvenlik kusurlarından biri, milyonlarca web sitesi tarafından kullanılan ve Drupal Core'a önceden entegre edilmiş en popüler JavaScript kütüphanesi olan JQuery adlı üçüncü taraf bir eklentide bulunan ve siteler arası betik çalıştırma (XSS) güvenlik açığıdır.

Bir hafta önce, JQuery, kütüphanenin önceki tüm sürümlerini o güne kadar etkileyen bir CVE numarası atanmamış güvenlik açığını düzeltmek için en son sürümü olan jQuery 3.4.0'ı yayımladı. Geri kalan üç güvenlik açığı Symfony'de bulunuyor, Drupal Core tarafından kullanılan ve Siteler Arası Betik Çalaıştırma (CVE-2019-10909), uzaktan kod yürütme (CVE-2019-10910) ve kimlik doğrulama bypass (CVE-2019-1091) saldırılarına neden olabilecek PHP bileşenlerinde bulunmaktadır.

Drupal zafiyetleri bilgisayar korsanları arasında popüler olarak kullanılmaktadır. Bu nedenle CMS’sin en yeni güncellenmesini en kısa zamanda yüklemeniz önerilir.

- Drupal 8.6 kullanan kullanıcılar için 8.6.15 güncellemesi yapılmalıdır.
- Drupal 8.5 ya da daha eski sürümünü kullanan kullanıcılar için 8.5.15 güncellemesi yapılmalıdır.
- Drupal 7 kullanan kullanıcılar için Drupal 7.66 güncellemesi yapılmalıdır. [3]

Haber Yazısı 4

Güvenlik Araştırmacısı Cloud Platformunda Loophole Kullanan Bir Microsoft Hizmetinde Zafiyet Tespit Etti

TARİH: 17 Nisan 2019

Bir siber güvenlik uzmanı Microsoft'un Azure bulut hizmetinde, Microsoft'un Windows 8 işletim sisteminde yerleşik olan en önemli özelliklerinden biri olan Windows Live Tiles'ı kontrol altına almak için yararlanılan bir zafiyeti ortaya çıkardı.

Windows 8 işletim sisteminde bulunan, Live Tiles özelliği, başlangıç ​​ekranında içerik ve bildirimleri görüntülemek ve kullanıcıların sık kullandıkları uygulamalardan ve web sitelerinden sürekli güncel bilgiler almalarını sağlamak için tasarlanmıştır. Microsoft’un kapattığı bu hizmet, şirket tarafından işletilen bir Azure  hesabına bağlanmış alt etki alanı ile Azure Cloud platformunda barındırılıyordu. Ancak, RSS’den XML’e dönüştürücü hizmetini devre dışı bıraktıktan sonra bile, şirketin ad sunucusundaki girişleri silmeyi unuttuğu, açıklanamayan alt etki alanının hala Azure sunucularına işaret ettiğini belirtti. Bu zafiyetten yaralanılarak Azure’de yeni oluşturulan bir hesap kullanılarak aynı alt alan adı geri alınabilmektedir.

Microsoft'un alt etki alanı üzerindeki dolaylı kontrol, hala devre dışı bırakılmış hizmet tarafından oluşturulan meta etiketleri kullanan çeşitli uygulamaların veya web sitelerinin Windows Live Tiles'inde rasgele içerik veya bildirimleri zorlamasını mümkün kılmıştır.

Microsoft, ad alanlarını kaldırarak alt alanını güvence altına almış gibi görünsede, bazı şirketler Azure bulut hizmeti platformunda, diğer etki alanı kullanıcılarını etkileyebilecek "alt alan adı devralma" sorununu çözme planlarını sorgulamak için Microsoft şirketi ile iletişime geçmiştir.[4]

Haber Yazısı 5

Apache Sistemlerindeki Uzaktan Kod Yürütme Zafiyeti için Güncelleme Yanınlandı

TARİH: 15 Nisan 2019

Apache Software Foundation (ASF), uzaktaki bir saldırganın kötü amaçlı kod yürütmesine ve etkilenen bir sunucunun denetimini ele geçirmesine olanak verebilecek önemli bir güvenlik açığını gidermek için Tomcat uygulama sunucusunun yeni sürümlerini yayımladı. ASF tarafından geliştirilen Apache Tomcat, açık kaynaklı bir web sunucusu uygulamasıdır. Java kavramının çalışması için "Pure Java" HTTP web sunucusu ortamı sağlamak için Java Servlet, JavaServer Pages (JSP), Expression Language ve WebSocket gibi birkaç Java EE belirtimi kullanır. Uzaktan kod yürütme güvenlik açığı (CVE-2019-0232) Ortak Ağ Geçidi Arabirimi (CGI) Sunucusunda bulunmaktadır.

CGI Sunucusu varsayılan olarak devre dışı bırakıldığı ve Tomcat 9.0. sürümünde enableCmdLineArguments seçeneği varsayılan olarak devre dışı bırakıldığı için, uzaktan kod yürütme güvenlik açığı kritikliğini yitirir. Bu güvenlik açığına yanıt olarak, CGI Servlet enableCmdLineArguments seçeneği şimdi Apache Tomcat'ın tüm sürümlerinde varsayılan olarak devre dışı bırakılacaktır.

Etkilenen Tomcat Sürümleri

- Apache Tomcat 9.0.0.M1-9.0.17 arası
- Apache Tomcat 8.5.0 - 8.5.39 arası
- Apache Tomcat 7.0.0 -7.0.93 arası

Etkilenmeyen Tomcat Sürümleri

- Apache Tomcat 9.0.18 ve üstü
- Apache Tomcat 8.5.40 ve üstü
- Apache Tomcat 7.0.94 ve üstü

Bu güvenlik açığından başarıyla yararlanılması ile saldırgan zafiyetli Apache Tomcat sürümünü kullanıp uzaktan hedeflenen bir windows sunucusu üzerinde komut çalıştırabilir ve yönetebilir.

Güvenlik açığı, 3 Mart 2019'da Nightwatch Cybersecurity'ten araştırmacılar tarafından Apache Tomcat güvenlik ekibine bildirildi ve ASF'nin güncellenmiş sürümleri yayımlamasının ardından 10 Nisan 2019'da kamuya duyuruldu.

Yazılım güncellemelerinin en kısa sürede uygulanması tavsiye edilir.Yamaları hemen uygulayamazsanız, CGI Servlet başlatma parametresinin varsayılan enableCmdLineArguments değerinin false olarak ayarlandığından emin olmalısınız.[5]

Haber Yazısı 6

Hatalı MongoDB, İranlı Ulaşım Firmasını Zor Duruma Soktu

TARİH: 15 Nisan 2019

İran merkezli bir seyehat arama şirketindeki hatalı bir MongoDB veritebanı, 6.7 milyondan fazla verini sızdırılmasına sebep oldu. Gerçekleştirilen saldırıda BinaryEdge arama motoru kullanılarak doroshke-invoice-production olarak adlandırılan veri tabanı ele geçirildi. Sızılan veritabanında, 2017 ve 2018 yıllarına ait fatura verileri bulunmaktadır. Sızan bilgiler İran sürücülerine ait, kimlik bilgileri, ad-soyad bilgileri, telefon numaralarını ve fatura tarihlerini içermektedir. 2 milyona yakın kişinin verileri ele geçirilmiştir.

Güvenlik araştırmacıları tarafından İran CERT’sine olayla ilgili bilgi verildi ve Diachenko bu durumdan başka kimlerin haberdar edilmesi gerektiğini belirlemek için İran’daki siber güvenlik araştırmacıları ile de temasa geçti. Diachenko “Veritabanının sahibini belirlemek için birkaç kişiyle iletişim kurabildik. Aynı zamanda, meslektaşlarım veri kaynağı sızıntısını doğrulamak için İran’daki en büyük seyahat şirketlerine de ulaştı.” şeklinde belirtti. Zafiyet tespitinden sonra İran’daki firma bulunarak iletişime geçildi. [6]

KAYNAKÇA

[1]. FransızHükümetiMesajUygulaması

[2]. İranlıHackerlardanSiberSaldırı

[3]. DurupalGüncelleme

[4]. AzureCloud

[5]. ApacheTomcatGüncelleme

[6]. MongoDB