EN
EN

2020 13. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

13.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Tüm Windows Sürümlerini Etkileyen Zero-Day Zafiyetleri

TARİH: 23 Mart 2020

Microsoft, siber saldırganların hedeflenen bilgisayarlar üzerinde uzaktan tam denetim sahibi olmasına izin verebilecek iki yeni kritik, eksiz sıfır gün güvenlik açığı için milyarlarca Windows kullanıcısına yeni bir güvenlik uyarısı yayınladı.

Microsoft'a göre kusurlar sınırlı, hedefli saldırılarda kullanılıyor ve Windows 10, 8.1 ve Server 2008, 2012, 2016 ve 2019 sürümlerinin yanı sıra Windows 7 (Microsoft desteğini 14 Ocak 2020'de sonlandırdı.) de dahil olmak üzere Windows işletim sisteminin desteklenen tüm sürümlerini etkiliyor. Her iki güvenlik açığı da Windows Adobe Type Manager Kitaplığı'nda bulunuyor. Yalnızca üçüncü taraf bir yazılımla açıldığında içeriği ayrıştırmakla kalmayıp aynı zamanda Windows Gezgini tarafından kullanıcıların önizleme bölmesinde veya 'Ayrıntılar Bölgesi’nde bir dosyanın içeriğini kullanıcılara açmadan görüntülemek için kullanılan bir yazı tipi ayrıştırma yazılımıdır.

Kusurlar, Microsoft Windows'da, Adobe Type Manager Kitaplığı "özel hazırlanmış birçok ana yazı tipini- Adobe Type 1 PostScript biçimi" ni yanlış işlediğinde, uzak saldırganların bir kullanıcıyı özel olarak hazırlanmış bir belgeyi açmaya veya Windows Önizleme bölmesinde görüntüleme ikna ederek hedeflenen sistemlerde rasgele kötü amaçlı kod yürütmesine izin verdiğinde ortaya çıkar.

Microsoft, sorunun farkında olduğunu ve şirketin 14 Nisan'da bir sonraki Patch Tuesday güncellemelerinin bir parçası olarak tüm Windows kullanıcılarına yayınlayacağı bir yama üzerinde çalıştığını söyledi.  Geçici çözümleri kullanarak sitemlerinizi koruyabilirsiniz.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

 

Haber Yazısı 2

Kritik RCE Hatası Milyonlarca OpenWrt Tabanlı Ağ Cihazını Etkiliyor

TARİH: 24 Mart 2020

Bir siber güvenlik araştırmacısı, yönlendiriciler, konut ağ geçitleri ve ağ trafiğini yönlendiren diğer yerleşik aygıtlar için yaygın olarak kullanılan Linux tabanlı bir işletim sistemi olan OpenWrt'u etkileyen kritik bir uzaktan kod yürütme güvenlik açığının teknik ayrıntılarını açıkladı.

CVE-2020-7982 olarak izlenen güvenlik açığı, imzalı depo dizinine hashlenmiş SHA-256 sağlama toplamlarını kullanarak indirilen paketlerin bütünlük denetimini gerçekleştirme biçiminde bulunan OpenWrt'in OPKG paket yöneticisinde bulunur.

Mağdur sisteminde bir 'opkg install' komutu çağrılırken, kusur uzaktaki man in the middle saldırganının hedeflenen bir cihazın iletişimini kesebilecek konumda olmasına izin verebilir.  Başarılı bir şekilde yararlanırsa, uzaktaki bir saldırgan hedeflenen OpenWrt ağ cihazı ve ardından yönettiği ağ trafiği üzerinde tam kontrol elde edebilir.

Üç yaşındaki güvenlik açığı, bu yılın başlarında ForAllSecure yazılım şirketinden Guido Vranken tarafından keşfedildi ve ardından bunu OpenWrt geliştirme ekibine sorumlu bir şekilde bildirdi.

Bu sorunu gidermek için, etkilenen kullanıcılara, aygıt yazılımlarını geçen ay yayınlanan en son OpenWrt 18.06.7 ve 19.07.1 sürümlerine yükseltmeleri önerilir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Hackerlar iPhone'lara Casus Yazılım Yüklemek için Yerel Haber Sitelerini Kullanıyor

TARİH: 27 Mart 2020

Yeni keşfedilen bir watering-hole kampanyası, cihazlara casus yazılım yüklemek için kötü amaçlı web sitesi bağlantıları kullanarak Hong Kong'daki Apple iPhone kullanıcılarını hedefliyor. 

TrendMicro ve Kaspersky tarafından yayınlanan araştırmaya göre , " Operasyon Zehirli Haberler " saldırısı, tıklandığında kötü amaçlı yazılım yükünü yürüten ve yerel haber web sitelerine bağlantılar aracılığıyla 'LightSpy' adlı zengin özelliklere sahip bir implant yerleştirmek için uzak bir iOS istismar zincirini kullanıyor bir müdahalenin etkilenen cihazdan hassas verileri dışarı atmasına ve hatta tam kontrol sahibi olmasına izin verir.

Watering-hole saldırıları genellikle kötü bir aktörün, kurbanın cihazına erişim sağlamak ve kötü amaçlı yazılım yüklemek amacıyla ziyaret ettikleri web sitelerini enfekte ederek belirli bir son kullanıcı grubunu tehlikeye atmasına izin verir. Söz konusu kötü amaçlı yazılım, tarayıcıda işlendiğinde, bir saldırganın kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyan boş bellek kusurundan (CVE-2019-8605 olarak izlenir) sonra kullanımın kullanılmasına yol açan "sessizce yamalı" Safari güvenlik açığından yararlanır. 

Casus yazılım sadece kabuk komutlarını uzaktan yürütme ve cihazın tam kontrolünü alma yeteneğine sahip değildir. Ayrıca kişi listeleri, GPS konumu, Wi-Fi bağlantı geçmişi, donanım verileri, iOS anahtarlıklar, telefon görüşmesi kayıtları, mobil Safari ve Chrome tarayıcı geçmişi ve SMS mesajları gibi verilerin dışarı sızmasına izin veren çeşitli indirilebilir modüller içerir.

Bu tür tehditleri azaltmak için, kullanıcıların cihazlarını güncel tutmaları ve Android'de yetkisiz kaynaklardan yandan yükleme uygulamalarından kaçınmaları önemlidir.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz

Haber Yazısı 4

Hackerlar Kurumsal Ağları Hedeflemek için Draytek Cihazlarındaki Zero-Day Hatalarını Kullanıyor

TARİH: 27 Mart 2020

Qihoo 360'ın NetLab'ı ile siber güvenlik araştırmacıları, Tayvan merkezli DrayTek tarafından üretilen vahşi hedefleme kurumsal düzeyde ağ cihazlarında yakın zamanda tespit edilen iki günlük sıfır gün siber saldırı kampanyasının ayrıntılarını açıkladı.


Rapora göre, en az iki ayrı bilgisayar korsanı, ağ trafiğine kulak misafiri olmak ve arka kapılara kurmak için DrayTek Vigor kurumsal anahtarlarını, yük dengeleyicileri, yönlendiricileri ve VPN ağ geçidi aygıtlarını etkileyen iki kritik uzaktan komut enjeksiyon güvenlik açığından (CVE-2020-8515) yararlandı.

Sıfır gün saldırıları geçen Kasım sonunda veya Aralık başında bir yerde başladı ve potansiyel olarak hala halka açık binlerce DrayTek anahtarına , Vigor 2960, 3900, 300B'ye karşı devam ediyorgeçen ay yayınlanan en son ürün yazılımı güncellemeleriyle henüz yama yapılmamış cihazlar .

Söz konusu sıfır gün güvenlik açıklarından, yetkisiz uzak saldırganlar tarafından, blogunda ayrı bir araştırmacı tarafından ayrıntılı olarak açıklandığı gibi, sisteme rastgele komutlar enjekte etmek ve yürütmek için yararlanılabilir.

Etkilenen ürün yazılımı sürümlerinin listesi aşağıdaki gibidir:

 

- Canlılık 2960 <sürüm 1.5.1
- Vigor300B <v1.5.1
- Canlılık3900 <sürüm 1.5.1
- VigorSwitch20P2121 <= v2.3.2
- VigorSwitch20G1280 <= v2.3.2
- VigorSwitch20P1280 <= v2.3.2
- VigorSwitch20G2280 <= v2.3.2
- VigorSwitch20P2280 <= v2.3.2


Etkilenen şirketlerin ve kişilerin, değerli ağlarını kötü amaçlı yazılımlara ve ortaya çıkan çevrimiçi tehditlere karşı tamamen korumak için en son ürün yazılımı güncellemelerini yüklemeleri önemle tavsiye edilir.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz

KAYNAKÇA

  1. windows
  2. openWrt
  3. iPhones 
  4. drayTek