EN
EN

2019 17. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

17. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Bankacılık Zararlı Yazılımı Olan CARBANAK’a Ait Kaynak Kod Bulundu

TARİH: 23 Nisan 2019

Güvenlik araştırmacıları tarafından Carbanak olarak adlandırılan zararlı yazılımının kaynak kodu keşfedildi.

Carbanak yazılımı, bankalara, finans kurumlarına, hastanelere ve restoranlara yönelik çeşitli saldırılar gerçekleştiren APT-style benzeri bir siber suçlu grubuna ait geniş özellikli ve tehlikeli malware yazılımlardan biridir. İlk olarak 2014 yılında Kaspersky Lab tarafından geliştirilen Carbanak, siber suçlar için gizliliklerini korumak ve potansiyel başarılarını artırmak için sürekli taktiklerini geliştiren, organize bir siber suç grubu tarafından oluşturulan dünyadaki en başarılı kötü amaçlı yazılımlardan biridir.

Geçtiğimiz yılın temmuz ayında, Carbanak’ın kaynak kodunun sızdırıldığına dair bir söylenti vardı, fakat Kaspersky Lab araştırmacıları tarafından sızdırılan kodun Carbanak yazılımına ait olmadığı açıklandı. Şuan FireEye güvenlik araştırmacıları, iki yıl önce Rus kaynaklı bir IP adresinden VirusTotal’e yüklenen iki RAR arşivinde[1,2]  Carbanak’ın kaynak kodu, yapımcıları ve daha önce görülmeyen eklentilerini bulduklarını ve bunları ayrıntılı olarak açıklayacak 4 bölümden oluşan bir dizi makale yayımlanmayı planladıklarını açıkladı. 

Hacker grubu, faaliyetlerine yaklaşık olarak altı yıl önce, banka ve ATM ağlarını ele geçirmek için Anunak ve Carbanak yazılımlarını kullanarak gerçekleştirmiş ve 100’den fazla bankadan bir milyon avroyu çaldı. Bankalara karşı saldırı gerçekleştirmek için banka çalışanlarına spear-phishing mailleri gönderilmiş, maillerin açılması durumunda Carbanak zararlı yazılımı bilgisayara bulaşmıştır. Hacker grubu daha sonrasında farklı bankacılık zararlı yazılımları geliştirmiştir. Grup ilk olarak 2015 yılında ortaya geçen yılın ocak ve Haziran ayları arasında tutuklanmıştır.  Organize suç grubunun tamamı ise 2018’in ağustos ayında 26 suçla yargılanmıştır. [1]

Haber Yazısı 2

WordPress’in Yaygın Olarak Kullanılan Sosyal Paylaşım-Social Share-  Eklentisi Hacker’lar Tarafından Aktif Olarak Sömürülüyor

TARİH: 23 Nisan 2019

Hacker’lar WordPress sitelerini ele geçirmek için hala eklentiyi barındıran zafiyetli sürümlerin sosyal medya paylaşım eklentilerinden birinin barındırdığı kritik bir güvenlik açığından yararlanıyor. Söz konusu zafiyetli eklenti 900.000’den fazla işlemiyle yaygın olarak kullanılan popüler “Social Warfare” eklentisidir. Bir WordPress web sitesine veya bloğuna sosyal medya paylaşım butonunu eklemek için kullanılır.

Geçen ayın sonlarında WordPress “Social Warfare” için her iki güvenlik zafiyetini (XSS-RCE) de gidermek için eklentilerin güncellenmiş halini içeren 3.5.3 sürümünü yayınlandı.

Hacker’lar bu güvenlik açığını, siteler arası istek sahteciliği, sunucularda bulunan kimlik doğrulama olmadan kontrol sağlama ve bu zafiyetli siteleri kullanarak dijital para madenciliği yapmak ve zararlı kod barındırmak amacıyla kullanır.

Bir güvenlik araştırmacısı “Social Warfare” yamalı WordPress sürümün yayınlandığı gün yeni sürümde XSS zafiyeti için tam açıklama ve PoC yayımladı. Açıklamadan kısa bir süre sonra saldırganlar bu güvenlik açığından yararlanma girişiminde bulunmaya başladılar fakat zafiyet sadece enjekte edilen JavaScript kodunu yönlendirme ile sınırlıydı. RCE zafiyetiyle ilgili herhangi bir saldırı girişimi olmadığı açıklandı.

Palo Alto Network Unit 42 araştırmacıları, saldırganın ele geçirdiği web sitesini kontrol etmesine imkân veren RCE ve ziyaretçileri bir reklam sitesine yönlendiren XSS zafiyetlerinden yararlanılan çeşitli exploit buldular.

Önem arz eden birçok site hala bu zafiyetli sürümü kullanarak milyonlarca kullanıcısını siber saldırı riski altında bırakıyor. Saldıranlar güvenlik açıklıklarını kullanarak WordPress kullanıcılarını hedef alan saldırılarına devam edebileceği için, web site yöneticilerinin “Social Warfare” eklentisini en kısa sürede 3.5.3 sürümü veya daha yeni bir sürümle güncelleştirmeleri önerilmektedir. [2]

Haber Yazısı 3

Hedefli Saldırı Stratejisi İle Yeni “DNSpionage” Türevi “Karkoff”

TARİH: 24 Nisan 2019

DNSpionage zaralı yazılım kampanyasının arkasındaki siber suçlu grubu, hedefli saldırıları için DNSpionage türevi yeni bir zararlı yazılım geliştirdiler. İlk olarak geçen yıl Kasım ayında ortaya çıkan DNSpionage saldırılarında, tehdit altındaki siteleri kullanılarak seçilen kurbanların bilgisayarlarına DNSpionage zararlı yazılımını bulaştırmak için kötü amaçlı belgeler üretildi.

Cisco Talos güvenlik araştırmacıları tarafından hazırlanan yeni raporda , grubun saldırılarının etkinliğini artırmak, daha hedefli ve organize hale getirmek için bazı yeni taktik, teknik ve prosedürler geliştirdikleri açıklandı. Önceki kampanyalardan farklı olarak kurbana zararlı yazılım bulaştırmadan önce, keşfedilmeden kalabilecekleri hedefleri seçmek amacıyla Karkoff adlı keşif aracı kullanılır. Araştırmacılar DNSpionage ve Karkoff kampanyalarındaki alt yapı örtüşmeleri tespit ettiklerini açıkladılar.

Keşif aşamasında saldırganlar, iş istasyonu ortamı, işletim sistemi, etki alanı ve kurbanların makinesinde çalışan işlemlerin listesiyle ilgili sistem bilgilerini toplar.

.NET’ ile geliştirilen Karkoff, saldırganların, C&C sunucularından host üzerinde uzaktan rasgele kod yürütmesine izin verir. Cisco Talos, Karkoff'u bu ayın başlarında kanıtlanmış kötü amaçlı yazılım olarak tanımladı.

Karkoff zararlı yazılımının dikkat çeken özelliklerinden biri kurban makinada çalıştırılan komutların zaman damgası ile birlikte log kaydını tutmasıdır.

DNSpionage kampanyasına benzer yakın zamanda keşfedilen saldırılar, Lübnan ve Birleşik Arap Emirlikleri (BAE) de dâhil olmak üzere Orta Doğu bölgesini de hedef alıyor.

Makroları devre dışı bırakmanın ve güvenilir antivirüs yazılımı kullanmanın yanı sıra, bu tür saldırıların kurbanı olma riskini azaltmak için sosyal mühendislik teknikleri hakkında bilgi sahibi olmanız önerilir. [3]

Haber Yazısı 4

Oracle WebLogic’te Kritik Zero-Day Zafiyeti

TARİH: 25 Nisan 2019

Çinli siber güvenlik şirketi, Oracle WebLogic sunucularına yapılacak saldırılara karşı uyarıyor. Güvenlik araştırmacıları, Oracle WebLogic sunucusunu etkileyen yeni bir zero-day zafiyeti tespit etti. Zero-day zafiyeti (CNVD-C-2019-48814) Oracle şirketine bildirildi fakat şirket zafiyet tespitinden dört gün önce güvenlik için güncelleştirmelerini yayınladı. Şirket her üç ayda bir güvenlik güncellemesi yayımladığı için bu güvenlik sorununu giderecek güvenlik güncellemesini Temmuz ayına kadar yayımlamayacak. Bu durumda 36.000’den fazla public WebLogic sunucusu saldırılara açık kalacaktır. Sunucu sahipleri olası ihlalleri engellemek için geçici çözümler kullanma yoluna gidecektir.

Oracle WebLogic, işletmelerin bulut ortamında yeni ürünlerin ve hizmetlerinin hızlı bir şekilde dağıtılmasını sağlayan, ölçeklenebilir, çok katmanlı Java tabanlı kurumsal bir uygulama sunucusudur. Hem bulut ortamında hem geleneksel ortamda popüler olarak kullanılmaktadır.

KnownSec 404 araştırmacıları tarafından tespit edilen güvenlik açığı, saldırganların etkilenen sunucularda yalnızca özel bir HTTP isteği göndererek herhangi bir yetkilendirme gerektirmeden uzaktan rasgele komutlar çalıştırmalarına izin veriyor.

Oracle WebLogic uygulamasında "wls9_async_response.war" ve "wls wsat.war" bileşenlerinin aktif olduğu tüm sunucuları etkileyen kritik bir ters-serileştirme uzaktan kod çalıştırma zafiyeti içerdiği bildiriliyor. Etkilenen Oracle WebLogic sürümleri aşağıdaki gibidir:

- WebLogic 10.X
- WebLogic 12.1.3

Bu güvenlik açığını düzeltmek için bir güncelleme yayınlanana kadar, sunucu yöneticilerine, saldırganların sistemlerini sömürmelerini engellemek için aşağıdaki iki ayardan birini değiştirmeleri tavsiye edilir:

- “wls9_async_response.war”, “wls-wsat.war” dosyalarını bulup silmek ve WebLogic hizmetini yeniden başlatmak.
- Erişim ilkesi denetimi yoluyla  / _async / *  ve  / wls-wsat / * URL yollarına erişimi engellemek.[4]

Haber Yazısı 5

WordPress WooCommerce Eklentisinde Yamalanmamış Kritik Bir Zafiyet Keşfedildi

TARİH: 26 Nisan 2019

WordPress ile hazırlanmış ve WooCommerce eklentisinin desteklendiği bir e-ticaret web sitesine sahipseniz,  siber suçlular yamasız zero-day bir zafiyeti kullanarak online mağazanızı tehdit edebilir.

WordPress’in güvenlik şirketlerinden biri WordPress’in resmi destek forumunun moderatörlerini protesto etmek amacıyla, WordPress’in eklentisinde bulunan bir zafiyet için  oluşturulan kavram ve detay bilgilerini kullanarak etik olmayan bir davranış gerçekleştirdi.

Açıklanan bildirimin aksine güvenlik açığı söylendiği gibi WordPress çekirdeğinde veya WooCommerce eklentisinde bulunmuyor. Güvenlik açığı, e-ticaret sitelerinin ödeme sayfalarındaki formları özelleştirmelerini ve şu anda 60.000'den fazla web sitesi tarafından kullanılmasını sağlayarak WooCommerce'in işlevselliğini genişletmek amacıyla kullanılan WooCommerce Checkout Manager adlı bir eklentide yer almaktadır.

Söz konusu güvenlik açığı, WooCommerce Checkout Manager eklentisinde "Categorize Uploaded Files" seçeneğinin aktif olduğu zafiyetli sitelerde, saldırganların uzaktan kullanabileceği "arbitrary file upload" zafiyetidir.

Eğer bu durum kötüye kullanılırsa, kusur saldırganların web sunucusu işlemi bağlamında sunucu taraflı rastgale kod yürütmesine izin verebilir ve verilere erişmek, verileri değiştirmek veya yönetimsel erişim elde etmek için uygulamayı tehlikeye atabilir.

WooCommerce Checkout Manager 4.2.6 sürümü bu zafiyeti barındırmaktadır. WordPress web siteniz bu eklentiyi kullanıyorsa, ayarlarda  "Categorize Uploaded Files"seçeneğini devre dışı bırakmanız veya yeni bir yamalı sürüm mevcut olana kadar eklentiyi tamamen devre dışı bırakmanız önerilir. [5]

Haber Yazısı 6

Docker Hub Veri İhlaline Uğradı

TARİH: 27 Nisan 2019

Docker, yazılım geliştiriciler ve sistemciler için geliştirilen açık kaynaklı bir sanallaştırma platformudur. Bulut tabanlı Docker konteynır kütüphanelerinden biri olan Docker Hub, bilinmeyen bir saldırganın tarafından şirketin tek Hub veritabanına erişim sağlayarak veri sızdırması sonucu güvenlik ihlaline uğramış oldu.

Docker Hub, kullanıcıların ve kurumların Docker konteyner imajlarını hem genel hem de özel olarak oluşturabileceği, test edebileceği, saklayabileceği ve dağıtabileceği çevrimiçi bir depo hizmetidir.

İhlalin, etkilenen kullanıcıların küçük bir yüzdesinin kullanıcı adları ve karma şifrelerinin yanı sıra Docker depoları için Github ve Bitbucket belirteçleri de dâhil olmak üzere yaklaşık 190.000 Hub kullanıcısı için hassas verilerin ortaya çıkarıldığı bildirildi.

Docker Hub, etkilenen kullanıcılara güvenlik olayı hakkında bilgi veren ve Docker Hub için şifrelerini ve aynı şifreyi kullanan çevrimiçi hesaplarına ait şifrelerini değiştirmelerini öneren bilgilendirme mailleri yolladı.

Docker tarafından yapılan açıklamada şirketin güvenlik ihlalini araştırmaya devam ettiğini ve mümkün olduğunda daha fazla bilgi paylaşacağını söylendi. Şirket ayrıca, genel güvenlik süreçlerini geliştirmek ve ihlalleri takip eden politikalarını gözden geçirmek için çalışıyor.[6]

KAYNAKÇA

[1]. Carbanak

[2]. SocialWarfare

[3]. Karkoff

[4]. OracleWebLogic

[5]. WordPressWooCommerce

[6]. DockerHubDataBreach