EN
EN

2019 24. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

24. Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Vim veya Neovim Editör’de Açtığınız Bir Dosya Linux Sisteminizin Hacklenmesine Sebep Olabilir

TARİH: 10 Haziran 2019

Linux işletim sisteminizi yakın zamanda güncellemediyseniz, Vim veya Neovim kullanarak bir dosyanın içeriğini görüntülemek sisteminizin ele geçirilmesine neden olabilir.

Linux sistemlerinde, Vim editörü, kullanıcıların metin, programlama komut dosyaları ve belgeler dahil herhangi bir dosyayı oluşturmasını, görüntülemesini veya düzenlemesini sağlar. Neovim geliştirilmiş Vim sürümü olduğundan bahse konu zafiyetten etkilenir.

Güvenlik araştırmacısı Armin Razmjou geçtiğimiz günlerde, Linux tabanlı işletim sistemlerinde hazır olarak gelen en popüler iki komut satırı metin düzenleme aracı olan Vim ve Neovim’de yüksek kritikliğe sahip olan uzaktan komut çalıştırma güvenlik açığı (CVE-2019-12735) tespit etti. Razmjou, Vim editörünün, bir dosyanın yaratıcısı tarafından belgede başlangıç ve bitiş satırlarının yakınında belirtilen bir dizi özel tercihleri otomatik olarak bulup uygulayabilen bir özellik olan "modelines" özelliğini kullanılması şeklinde gerçekleşen bir kusur keşfetti. Editör modeline özelliğinde yalnızca bir seçenek alt kümesine izin verir ve güvenli olmayan bir ifade içermesi durumunda sandbox korumasını kullanır. Fakat Razmjou ":source!" komutu kullanılarak sandbox’un atlatılabileceğini açıkladı.

Bu nedenle masum görünümlü zararlı bir dosyanın Vim ve Neovim editörlerle açılması, saldırganın Linux sisteminizin uzaktan kod çalıştırarak ele geçirilmesine neden olabilir.

Zafiyetten Korunmak İçin Öneriler

Vim (patch 8.1.1365) ve Neovim (released in v0.3.6) kullanıcıları için çözüme yönelik güncellemeler yayımlandı. Yayımlanan güncellemelerin en yakın zamanda yüklenmesi önerilir. Bunun yanında güvenlik araştırmacıları aşağıda verilen önerileri sunmaktadır:

- Modelines özelliğinin devre dışı bırakılması
- Modelines özelliğinde ifadelere izin vermemek için "modelineexpr" yi devre dışı bırakılması
- Vim modellerine karşı güvenli bir alternatif olan "securemodelines eklentisini" kullanılması

[1]

Haber Yazısı 2

WordPress Live Chat Eklentisindeki Yeni Bir Zafiyet Oturumların Çalınmasına Neden Oluyor

TARİH: 11 Haziran 2019

Güvenlik araştırmacıları, WordPress Live Chat eklentilerinden birinde kritik bir güvenlik açığı keşfetti. Zafiyet (CVE-2019-12498), yetkisiz bir saldırganın uzaktan sohbet kayıtlarını çalmasına veya sohbet oturumlarını manipüle etmesine izin verilmesine neden olur. “WP Canlı Sohbet Desteği” 50.00’den fazla işletme tarafından müşteri desteği sağlamak ve web siteleri aracılığıyla ziyaretçilerle sohbet etmek için kullanılmaktadır.

Alert Logic'teki siber güvenlik araştırmacıları tarafından keşfedilen kusur, kimliği doğrulanmayan kullanıcıların kısıtlı REST API bitiş noktalarına erişmesine izin verebilecek bir şekilde kimlik doğrulama için yapılan hatalı bir doğrulama kontrolünden kaynaklanıyor.

Araştırmacılar tarafından belirtilene göre potansiyel bir saldırgan aşağıda belirtilen faaliyetleri gerçekleştirebilir:

- Tüm sohbet faaliyetleri için sohbet geçmişini almak,
- Sohbet geçmişini değiştirmek veya silmek,
- Mesajları aktif bir sohbet oturumuna enjekte etmek, müşteri destek temsilcisi olarak göstermek,
- DoS saldırısının bir parçası olarak aktif sohbet oturumlarını zorla sonlandırmak.

Zafiyet, tüm WordPress web siteleri ve canlı destek sunmak için WP Canlı Sohbet Desteği sürüm 8.0.32 veya önceki bir sürümü kullanan müşterileri etkiler. Araştırmacılar bu sorunu, etkilenen WordPress eklentisinin sağlayıcılarına bildirdi.

Zafiyetten Korunmak İçin Öneriler

WordPress yöneticilerine eklentinin en son sürümünü mümkün olan en kısa sürede yüklemeleri önemle tavsiye edilir. [2]

Haber Yazısı 3

Adobe ColdFusion, Flash Player, Campaing Uygulamaları İçin Kritik Yamalarını Yayımladı

TARİH: 11 Haziran 2019

Adobe, yaygın olarak kullanılan üç ürünü olan Adobe ColdFusion, Flash Player ve Adobe Campaign'de toplam 11 güvenlik açığını gidermek için Haziran 2019 tarihli yazılım güncellemelerini yayımladı. Bunların dışında, üç güvenlik açığı, rasgele kod yürütme saldırılarına yol açabilecek ticari hızlı bir web uygulama geliştirme platformu olan (tümü ciddi derecede kritik olan) Adobe ColdFusion'ı etkilemektedir.

Yeni yamalı tüm ColdFusion zafiyetleri hakkında kısa bilgiler aşağıdaki gibidir:

- CVE-2019-7838 - Bu güvenlik açığı "Dosya uzantısı kara liste bypass" olarak kategorize edildi ve dosya web dizinini yüklüyorsa web üzerinden erişilebiliyorsa kullanılabilir.
- CVE-2019-7839 - ColdFusion 2016 ve 2018 sürümlerinde bir komut enjeksiyonu güvenlik açığı var, ancak ColdFusion sürüm 11'i etkilemiyor.
- CVE-2019-7840 - Bu kusur güvenilmeyen verilerin seri hale getirilmesinden kaynaklanıyor ve ayrıca sistemde rasgele kod yürütülmesine de yol açıyor.

ColdFusion’ın yanı sıra, Adobe bu ayın kötü niyetli Flash Player yazılımında tek bir güvenlik açığı ( CVE-2019-7845 ) buldu; kritikliği yüksek olan bu zafiyet etkilenen Windows, macOS, Linux veya Chrome OS tabanlı işletim sistemlerinde rasgele kod yürütülmesine neden oluyor. Bu kusur Adobe'un anonim bir siber güvenlik araştırmacısı tarafından rapor edildi ve en son 32.0.0.207 tarihli Flash player sürümünü yükleyerek düzeltilebilir.

Adobe, kullanıcıların sistemlerini ve işletmelerini siber saldırılara karşı korumak için etkilenen her platform için güvenlik açığı bulunan her üç yazılımın  güncellenmiş sürümlerini yayımladı. [3]

Haber Yazısı 4

Microsoft, 88 Güvenlik Açığını Düzeltmek İçin Haziran 2019'daki Güvenlik Güncelleştirmelerini Yayınladı

TARİH: 11 Haziran 2019

Teknoloji devi olan Microsoft Windows işletim sistemleri ve diğer Microsoft ürünleri için aylık toplu yazılım güvenliği güncelleştirmelerini yayımladı. Güvenlik güncellemeleri toplam 88 güvenlik açığını temel almıştır. 88 güvenlik açığından 21'i kritik, 66'sı önemli ve biri önem derecesi orta olarak derecelendirildi.

Haziran 2019 güncellemeleri Windows işletim sistemi, Internet Explorer, Microsoft Edge tarayıcı, Microsoft Office ve Servisler, ChakraCore, Skype Kurumsal, Microsoft Lync, Microsoft Exchange Server ve Azure uygulamalarını içerir.

Ancak, Microsoft, şu anda Windows tarafından kullanılan temel bir şifreleme işlevi kitaplığı olan SymCrypt'teki küçük bir kusuru düzeltemedi; bu durum, başarılı bir şekilde yararlanılması durumunda, kötü niyetli programların diğer programlar için şifreleme hizmetini kesintiye uğratmasına (hizmet reddi) neden olmaktadır. [4]

Haber Yazısı 5

RAMBleed Atağı

TARİH: 12 Haziran 2019

Siber güvenlik araştırmacıları, modern bir sistemde kurulu kötü amaçlı programların aynı donanım üzerinde çalışan diğer işlemlerden hassas bellek verilerini okumasına izin verebilecek dinamik rastgele erişim belleğine (DRAM) yönelik yeni bir yan kanal saldırısının ayrıntılarını açıkladı. RAMBleed olarak adlandırılan ve CVE-2019-0174 olarak tanımlanan saldırı, araştırmacılar tarafından kanıtlanmış çeşitli varyantları [GLitch, RAMpage, Throwhammer, Nethammer, Drammer] Rowhammer adında son yıllarda iyi bilinen bir DRAM yan kanal saldırısı sınıfına dayanıyor.

2012'den beri bilinen Rowhammer zafiyeti, yeni nesil DRAM yongalarında bulunan bir donanım güvenilirliği sorunudur.

Bir satır belleğe art arda ve hızlı bir şekilde erişmenin bitişik satırlarda bit dalgalanmalarına, yani bit değerlerini 0'dan 1'e veya tam tersine değiştirmesine neden olabileceği ortaya çıktı. İlerleyen yıllarda araştırmacılar, mağdurun hafızasındaki bitleri çevirerek (yazarak) savunmasız bilgisayarlarda ayrıcalık artışı sağladılar.

Michigan Üniversitesi, Graz Teknoloji Üniversitesi ve Adelaide Üniversitesi'nden bir araştırma ekibi tarafından keşfedilen yeni RAMBleed, aynı zamanda bit-flip mekanizmasına güveniyor; ancak, bitişik satırlara veri yazmak yerine, bu saldırı, saldırganların diğer programlara ve kullanıcılara ait korumalı hafızadaki bilgileri okumalarını sağlar.

Araştırmacılara göre, istenmeyen bit uçlarını algılayan ve düzeltebilen ve ayrıca birçok Rowhammer tabanlı saldırıyı azaltan ECC (Hata Düzeltme Kodu) bellek korumaları bile RAMBleed saldırısını engellemiyor. Hem DDR3 hem de DDR4, RAMBleed saldırılarına karşı savunmasız olsa da, araştırmacılar, belleklerini hedeflenen satır yenileme (TRR) etkinken, DDR4'e yükselterek istismar etmeleri daha zor olduğu için riski azaltmalarını önerdi. [5]

Haber Yazısı 6

Chrome Kullanıcıları İçin Popüler Evernote Uzantısında Kritik Bir Zafiyet Raporlandı

TARİH: 13 Haziran 2019

Siber güvenlik araştırmacıları, popüler Evernote Chrome uzantısında, bilgisayar korsanlarının tarayıcınızı ele geçirmesine ve erişmiş olduğunuz herhangi bir web sitesinden hassas bilgileri çalmasına izin verebilecek kritik bir kusur keşfetti.

Evernote, insanların not almalarına ve yapılacak görev listelerini düzenlemelerine yardımcı olan popüler bir hizmettir ve 4.610.000'den fazla kullanıcı, Chrome tarayıcısı için Evernote Web Clipper Uzantısını kullanıyor. Araştırmacılara göre, güvenlik açığı ( CVE-2019-12592 ), saldırganın denetlediği bir web sitesinin tarayıcıda kullanıcılar adına diğer alanlar bağlamında rasgele kod yürütmesine izin vererek, Evrensel Siteler Arası Betik Çalıştırma (UXSS veya Universal XSS) zafiyetine neden olabilir.

Guardio ekibi bu sorunu sorumlu bir şekilde, geçen ayın sonlarında Evernote'a bildirdi ve daha sonra Chrome kullanıcıları için Evernote Web Clipper eklentisinin güncellenmiş ve yamalı bir versiyonunu yayımladı.

Chrome Tarayıcı, genellikle her 5 saatte bir düzenli aralıklarla, yüklü uzantıların yeni sürümlerini kontrol eder ve kullanıcı müdahalesi gerektirmeden bunları günceller. Tarayıcınızın en yeni Evernote 7.11.1 veya daha yeni sürümünü çalıştırdığından emin olmanız gerekir. [6]

KAYNAKÇA

[1]. Vim-Neovim

[2]. WordPress

[3]. AdobeUpdates

[4].MicrosoftUpdates

[5].RAMBleed

[6].Evernote