EN
EN

2020 23. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

23.Hafta Siber Güvenlik Haberleri

Haber Yazısı 1

Vmware Bulut Direktöründe Kritik Zafiyet

TARİH: 1 Haziran 2020

Siber güvenlik araştırmacıları geçtiğimiz haftalarda VMware'in Cloud Director platformunda, bir saldırganın hassas bilgilere erişmesine ve tüm altyapıda özel bulutları kontrol etmesine izin verebilecek yeni bir güvenlik açığıyla ilgili ayrıntıları açıkladı.

CVE-2020-3956 olarak izlenen kod enjeksiyon hatası, kimliği doğrulanmış bir saldırgan tarafından Cloud Director'a kötü amaçlı trafik göndermek için kötüye kullanılabilecek ve rastgele kod yürütülmesine yol açan uygunsuz bir giriş işleminden kaynaklanıyor. CVSS v.3 güvenlik açığı önem derecesindeki 10 üzerinden 8,8 olarak değerlendirerek kritik bir güvenlik açığı olarak nitelendirildi. Güvenlik açığı, 10.0.0.2'den önceki VMware Cloud Director sürüm 10.0.x, 9.7.0.5'ten önce 9.7.0.x, 9.5.0.6'dan önce 9.5.0.x ve 9.1.0.4'ten önce 9.1.0.x'i etkiler.

VMware Cloud Director, bulut kaynaklarını çalıştırmak ve yönetmek için kullanılan ve işletmelerin farklı coğrafi konumlara dağıtılan veri merkezlerine sanal veri merkezlerine izin veren popüler bir dağıtım, otomasyon ve yönetim yazılımıdır.

Güvenlik açığı, Prag merkezli bir etik hack şirketi Citadelo tarafından, bu yılın başlarında isimsiz bir Fortune 500 kurumsal müşterisi tarafından bulut altyapısının güvenlik denetimini gerçekleştirmesi için işe alındıktan sonra belirlendi. Ayrıca sömürünün ciddiyetini göstermek için bir kavram kanıtı yayınladı.

Bulgular 1 Nisan'da VMware'e özel olarak açıkladıktan sonra, şirket kusurları 9.1.0.4, 9.5.0.6, 9.7.0.5 ve 10.0.0.2 sürümlerini kapsayan bir dizi güncellemede yamaladı. VMware ayrıca, bu sorundan yararlanan saldırı riskini azaltmak için bir geçici çözüm yayımladı.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Yeni SAP ASE Zafiyetleri Veritabanı Sunucularını Tehlikeye Atıyor

TARİH: 3 Haziran 2020

SAP'nin Sybase veritabanı yazılımında bulunan yeni bir dizi kritik güvenlik açığı, ayrıcalıklı olmayan saldırganlara hedeflenen bir veritabanı üzerinde ve hatta belirli senaryolarda temel alınan işletim sistemi üzerinde tam denetim verebilir.

Siber güvenlik firması Trustwave tarafından geçtiğimiz hafta açıklanan altı kusur, işlem tabanlı uygulamalara yönelik ilişkisel bir veritabanı yönetim yazılımı olan Sybase Adaptive Server Enterprise'da (ASE) bulunuyor.

Siber güvenlik şirketi hem işletim sistemine hem de bir bütün olarak platforma özgü sorunların, birinin CVSS derecesi 9.1 olan ürünün güvenlik testi sırasında keşfedildiğini söyledi. CVE-2020-6248 olarak tanımlandı, en ciddi güvenlik açığı veritabanı yedeklemeleri yaparken rasgele kod yürütülmesine izin verir, böylece saldırganın kötü amaçlı komutların yürütülmesini tetiklemesine izin verir.

İkinci bir güvenlik açığı (CVE-2020-6252), ASE sunucularının durumunu ve kullanılabilirliğini izlemek için kullanılan web tabanlı bir yönetim konsolu olan ASE Cockpit ile ilgilidir. ASE 16'nın yalnızca Windows kurulumlarını etkileyen bu kusur, kullanıcı hesabı kimlik bilgilerini yakalamak, işletim sistemi dosyalarının üzerine yazmak ve hatta LocalSystem ayrıcalıklarıyla kötü amaçlı kod yürütmek için yerel bir ağa erişimi olan kötü bir aktöre izin verir.

İkinci bir güvenlik açığı (CVE-2020-6252), ASE sunucularının durumunu ve kullanılabilirliğini izlemek için kullanılan web tabanlı bir yönetim konsolu olan ASE Cockpit ile ilgilidir. ASE 16'nın yalnızca Windows kurulumlarını etkileyen bu kusur, kullanıcı hesabı kimlik bilgilerini yakalamak, işletim sistemi dosyalarının üzerine yazmak ve hatta LocalSystem ayrıcalıklarıyla kötü amaçlı kod yürütmek için yerel bir ağa erişimi olan kötü bir aktöre izin verir. Son olarak, CVE-2020-6250 , kimliği doğrulanmış bir saldırganın sistem yöneticisi şifrelerini kurulum günlüklerinden okuyabileceği Linux sistemlerinde bilgi ifşasını içerir.

Kusurları çözmek için kullanıcıların ASE'nin en son sürümüne güncellemeleri önemle tavsiye edilir. Adaptive Server'daki bu altı kusurun yanı sıra SAP, Mayıs 2020 toplu yama sürümünün bir parçası olarak ABAP uygulama sunucusu, Business Client, BusinessObjects, Ana Veri Yönetimi, Plant Connectivity, NetWeaver ve SAP Identity Management yazılımı için kritik güvenlik yamaları da yayınladı.

 [2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Zoom'daki İki Kritik Hata Saldırganların Sohbet Yoluyla Sistemleri Hack Etmesine İzin Verebilir

TARİH: 3 Haziran 2020

Özellikle eğitim, iş veya sosyal katılımınızla başa çıkmak için Zoom'u kullanıyorsanız, Windows, macOS veya Linux bilgisayarlarınızda yaygın olarak kullanılan video konferans yazılımının en son sürümünü kullandığınızdan emin olun.

Cisco Talos'tan siber güvenlik araştırmacıları bugün Zoom yazılımında iki kritik güvenlik açığı keşfettiğini açıkladı. Saldırganların grup sohbeti katılımcılarının veya bireysel bir alıcının sistemlerini uzaktan ele geçirmesine izin vermiş olabilir.

Söz konusu her iki kusurda kötü amaçlı kod yürütmek için video konferans yazılımının savunmasız sürümlerini çalıştıran sistemlere rasgele dosyalar yazmak veya yerleştirmek için kullanılabilen yol geçiş güvenlik açıklarıdır.

Cisco Talos araştırmacıları Zoom istemci uygulamasının 4.6.10 sürümünde her iki kusuru da test ettiler ve bunu şirkete sorumlu bir şekilde bildirdiler.

Geçen ay yayımlanan Zoom, Windows, macOS veya Linux bilgisayarlar için video konferans yazılımının 4.6.12 sürümünün yayınlanmasıyla her iki kritik güvenlik açığını da düzeltti.

 [3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Yeni USBCulprit Casus Aracı Hava Boşluklu Bilgisayarlardan Veri Çalıyor

TARİH: 4 Haziran 2020

Geçtiğimiz hafta Kaspersky tarafından yayınlanan yeni bir araştırmaya göre, Çinli bir tehdit aktörü casusluk için hassas verileri genişletmek amacıyla hava boşluklu sistemleri hedeflemek için yeni yetenekler geliştirdi.

Cycldek, Goblin Panda veya Conimes olarak bilinen APT, Vietnam, Tayland ve Laos'taki devlet kurumlarına yönelik saldırılarda daha önce bildirilmemiş özel araçlar, taktikler ve prosedürler dahil olmak üzere kurban ağlarında yanal hareket ve bilgi çalmak için kapsamlı bir araç seti kullanıyor.

Kaspersky, "Yeni ortaya çıkan araçlardan birine USBCulprit adı verildi ve kurban verilerini dışarı atmak için USB ortamına güvendiği bulundu." Diyerek şöyle devam etti: "Bu, Cycldek'in mağdur ortamlarda hava boşluklu ağlara ulaşmaya çalıştığını veya aynı amaçla fiziksel mevcudiyete güvendiğini gösterebilir."

İlk olarak 2013 yılında CrowdStrike tarafından gözlemlenen Cycldek, Güneydoğu Asya'da, özellikle Vietnam'da, bilinen güvenlik açıklarından yararlanan tuzak belgeleri kullanarak savunma, enerji ve hükümet sektörlerini uzun bir geçmişe sahiptir (ör. CVE 2012-0158, CVE-2017-11882, CVE 2018-0802) Microsoft Office'te NewCore RAT adlı kötü amaçlı yazılımı bırakmak için.

Kötü amaçlı yazılım, belirli bir çıkarılabilir sürücüye seçici olarak kopyalanacak şekilde programlanmıştır, böylece virüs bulaşmış bir USB sürücüsü başka bir makineye her takıldığında diğer hava boşluklu sistemlere yanal olarak hareket eder. Kaspersky tarafından yapılan bir telemetri analizi, ikiliğin ilk örneğinin 2014 yılına kadar gittiğini ve en son örneklerin geçen yılın sonunda kaydedildiğini buldu.

Nihayetinde, iki kötü amaçlı yazılım parçası arasındaki benzerlikler ve farklılıklar, kümelerin arkasındaki aktörlerin tek bir büyük varlık altında iki farklı dal olarak çalışırken kod ve altyapıyı paylaştıklarının göstergesidir.

 [3] Haber ayrıntılarına buradan ulaşabilirsiniz.

KAYNAKÇA

  1. VMware
  2. SAP
  3. Zoom
  4. USBCulprit