EN
EN

2019 31. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

31.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

VxWorks RTOS’DA KRİTİK GÜVENLİK AÇIKLIKLARI KEŞFEDİLDİ

TARİH: 29 Temmuz 2019

Güvenlik araştırmacıları, havacılık, savunma, sanayi, tıp, otomotiv, tüketici elektroniği, ağ iletişimi ve diğer kritik endüstri alanlarında 2 milyardan fazla cihaza güç sağlayan yerleşik cihazlar için en yaygın kullanılan gerçek zamanlı işletim sistemlerinden (RTOS) biri olan VxWorks'te bir düzine kadar sıfır gün güvenlik açığı keşfetti. Armis Lab, araştırmacılarının yayınladığı raporda 6 tanesi kritik olarak belirtilen bu 11 güvenlik açığı URGENT/11 olarak adlandırılmaktadır. Armis Labs, daha önce BlueBorne açıklarını tespit eden IoT güvenlik şirketidir.

Wind River VxWorks web kamerası, ağ switch, router, firewall, VOIP telefonlar, yazıcılar ve video konferans ürünlerinin yanı sıra trafik ışıkları gibi birçok alanda kullanılmaktadır. Bunların yanı sıra, VxWorks SCADA, trenler, asansörler, endüstriyel kontrolörler, hasta monitörleri, MRI makineleri, uydu modemleri, uçak içi WiFi sistemleri ve hatta mars gezicileri gibi kritik sistemler tarafından da kullanılıyor.

Bildirilen URGENT/11 açıkları, RTOS'un 6.5. sürümünden bu yana kullanılmakta olan RTOS'un IPnet TCP/IP ağ yığınında bulunmaktadır ve görünüşe göre son 13 yılda yayınlanan VxWorks'ün tüm sürümlerini cihazların saldırılarına açık hale getirmiştir. 6 kritik güvenlik açığının tümü, saldırganların uzaktan kod yürütme (RCE) saldırılarını tetiklemesine izin verir ve kalan kusurlar hizmet reddine, bilgi sızıntılarına veya mantıksal kusurlara neden olabilir.

Kritik Uzaktan Kod Yürütme Hataları:

- IPv4 seçenekleri toplanırken oluşan stack overflow zafiyeti (CVE-2019-12256)
- TCP Urgent Pointer alanının yanlış işlenmesi sonucu meydana gelen 4 bellek bozukluğu zafiyeti (CVE-2019-12255, CVE-2019-12260, CVE-2019-12261, CVE-2019-12263)
- ipdhcpc(VxWorks TCP/IP stack) içinden DHCP Offer/ACK bilgisi toplanırken meydana gelen heap overflow zafiyeti(CVE-2019-12257)

DoS, Bilgi Kaçakları ve Mantıksal Kusurlar:

- Hatalı TCP seçeneklerinin neden olduğu TCP bağlantısı kaynaklı DoS(CVE-2019-12258)
- Talep edilmeden işleme alınan(unsolicited) Reverse ARP yanıtları nedeniyle oluşan açıklık (CVE-2019-12262)
- ipdhcpc DHCP client bileşeninin yaptığı IPv4 atamasından kaynaklı mantıksal hata(CVE-2019-12264)
- IGMP parsing esnasında hatalı NULL dereference(başka bir bellek lokasyonunda tutulan verinin adres bilgisinin bir pointer’dan alınması) işleminin neden olduğu DoS(CVE-2019-12259)
- IGMPv3 özel üyelik raporundan kaynaklanan IGMP veri sızıntısı zafiyeti (CVE-2019-12265)

Armis bu güvenlik açıklarını Wind River Systems'e bildirdi ve şirket çok sayıda cihaz üreticisine bildirmiş ve geçen ay bu güvenlik açıklarını gidermek için yamalar yayınlamıştır. Güncellemelerin en yakın zamanda yüklenmesi önerilmektedir. [1]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

WPA3 KORUMALI WİFİLERDE, WİFİ ŞİFRESİNİN ÇALINMASINA NEDEN OLABİLECEK ZAFİYETLER BULUNDU

TARİH: 30 Temmuz 2019

Siber güvenlik araştırmacıları WPA3 WİFİ güvenliğinde,  saldırganların şifreleri elde edebileceği bir güvenlik açığı tespit etti.

WPA veya WiFi Korumalı Erişim, Gelişmiş Şifreleme Standardı (AES) protokolünü kullanarak kablosuz cihazların kimliğini doğrulamak için tasarlanmış ve siber saldırganların kablosuz verilerinizi dinlemelerini önlemek amacıyla tasarlanmış bir WiFi güvenlik standardıdır. WPA3 protokolü, bir yıl önce WPA2 protokolünün teknik eksikliklerini, uzun süre güvensiz olduğu ve daha şiddetli crack saldırılarına karşı savunmasız bulduğu için geliştirilmiştir. WPA3, WiFi ağlarını çevrimdışı sözlük saldırılarına karşı korumayı amaçlayan Dragonfly olarak da bilinen SAE (Eşit Eş Zamanlı Kimlik Doğrulama) adı verilen daha güvenli bir el sıkışmasına dayanır.

Bir yıldan az bir zaman önce, Mathy Vanhoef ve Eyal Ronen isimli güvenlik araştırmacıları, WPA3'üçte bir saldırganın zamanlama veya önbellek tabanlı yan kanal sızıntılarını kötüye kullanarak WiFi şifrelerini elde etmesine olanak sağlayan birkaç zafiyet (Dragonblood) buldu.

WiFi standardının benimsenmesini denetleyen kar amacı gütmeyen kuruluş olan WiFi Alliance, sorunları çözmek için yamalar yayınladı ve ilk Dragonblood saldırılarını azaltmak için güvenlik önerileri oluşturdu. Ancak, araştırmacılarla işbirliği yapmadan özel olarak oluşturulan bu güvenlik önerilerinin, kullanıcıları Dragonblood saldırılarına karşı korumak için yeterli olmadığı ortaya çıktı. Bunun yerine, iki yeni yan kanal saldırısı açar ve bu, WiFi protokolünün en son sürümünü kullanıyor olsanız bile saldırganların WiFi şifrenizi çalmasına izin verir.

Araştırmacılar yeni bulgularını WiFi Alliance ile paylaştı ve "WiFi standardı şu anda WPA 3.1'e yol açabilecek uygun savunmalarla güncellendiğini" tweetlediler, ancak ne yazık ki, yeni savunma WPA3'ün ilk sürümüyle uyumlu değil.  WPA3 standardının kullanıldığı yerlerde gelebilecek saldırılara karşı dikkatli olunması ve WPA3 bu saldırılara karşı savunmalı sürümlerinin kullanılması önerilmektedir. [2]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

“OXID eShop” YAZILIMINDAKİ KRİTİK ZAFİYETLER E-TİCARET SİTELERİNİN HACKLENMESİNE OLANAK VERİYOR

TARİH: 30 Temmuz 2019

E-ticaret web siteniz OXID eShop platformunda çalışıyorsa, sitenizin hacklenmesine engel olmak için en kısa sürede güncellemeniz gerekir.

Siber güvenlik araştırmacıları OXID eShop e-ticaret yazılımında, kimliği doğrulanmayan saldırganların güvenlik açığı bulunan e-ticaret web siteleri üzerinde birkaç dakikadan daha kısa bir süre içinde tam kontrol sahibi olmalarına izin verebilecek bir dizi kritik güvenlik açığı keşfetti.

OXID eShop, kurumsal sürümü Mercedes, BitBurger ve Edeka gibi endüstri liderleri tarafından kullanılan önde gelen Alman e-ticaret mağazası yazılım çözümlerinden biridir.

OXID eShop-SQL Enjeksiyon Zafiyeti: CVE-2019-13026 olarak atanan ilk güvenlik açığı, kimliği doğrulanmayan bir saldırganın, OXID eShop yazılımının savunmasız bir sürümünü çalıştıran bir web sitesinde kendi tercihine ait bir parola ile yeni bir yönetici hesabı oluşturmasına olanak sağlayan bir SQL enjeksiyon güvenlik açığıdır.

OXID eShop-Uzaktan Kod Yürütme Zafiyeti: İkinci güvenlik açığı, OXID eShop yazılımının yönetim panelinde yer alan ve kullanıcı tarafından sağlanan girdi, unerialize ( )PHP işlevine geçilmeden önce uygun şekilde sterilize edilmediğinde ortaya çıkan bir PHP Nesnesi enjeksiyon sorunudur.

RIPS araştırmacıları bulgularını OXID eShops'a rapor ettiler ve şirket bu sorunu kabul etti. Şirket OXID eShop v6.0.5 ve 6.1.4'ü yayınladı. Şirketin ikinci güvenlik açığını düzeltmediği, ancak ilk konuyu ele alarak hafiflettiği öngörülmektedir. [3]

Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

CAPİTALONE KURUMUNUN YAŞADIĞI 106 MİLYON MÜŞTERİYİ ETKİLEYEN VERİ İHLALİNİN SALDIRGANI TUTUKLANDI

TARİH: 30 Temmuz 2019

ABD'nin en büyük beşinci kredi kartı veren kuruluş ve bankacılık kurumu olan Capital One kısa süre önce Amerika Birleşik Devletleri'nde ve Kanada'da 6 milyon olan 100 milyondan fazla kredi kartı başvurusunda bulunan kişinin kişisel bilgilerini ifşa eden bir veri ihlali yaşadı.

Capital One'dan yapılan açıklamada, bu yıl 22 ve 23 Mart'ta gerçekleşen veri ihlali, saldırganların 2005 ve 2019 yılları arasında kredi kartı için başvuruda bulunan müşterilerin bilgilerini çalınmasına neden olduğu söylendi.  Güvenlik olayı ancak bir hacker'ın GitHub hesabındaki hırsızlık hakkında bilgi yayınladığı 19 Temmuz'dan sonra ortaya çıktı.

FBI, 2015'ten 2016'ya kadar bir Capital One yüklenicisi için çalışan ve eski bir Amazon Web Hizmetleri yazılım mühendisi olan 33 yaşındaki Paige Thompson'ı, dün sabah veri ihlaliyle ilgili olarak tutukladı ve çalınan verilerin bir kopyasını içeren elektronik depolama aygıtlarını ele geçirdi.

Müşteri Sayısı ve Etkilenen Bilgi Türleri: Sızdırılan bilgiler yaklaşık 140.000 Sosyal Güvenlik numarası ve Amerikan müşterileriyle bağlantılı 80.000 banka hesap numarası ve 1 milyon Kanada Sosyal Sigorta numarası içeriyor. Bunun yanı sıra, güvenlik ihlalinde bazı müşterilerin adları, adresleri, doğum tarihleri, kredi puanları, kredi limitleri, bakiyeleri, ödeme geçmişi ve iletişim bilgileri de tehlikeye atıldığı öngörülmektedir.

Ancak, Pazartesi günkü bir açıklamada Capital One, müşterilerine "kredi kartı hesap numaralarının veya giriş kimlik bilgilerinin ihlal edilmediğini" ve şirketin dosyada bulunan Sosyal Güvenlik numaralarının% 99'undan fazlasının etkilenmediğine dair güvence verdi. Şirket ayrıca, etkilenen müşterileri bilgilendireceğini ve etkilenenlere ücretsiz kredi izleme hizmeti sunacağını belirtti. [4]

Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. VxWorks
  2. WPA3
  3. OXID-eShop
  4. Capitalone