EN
EN

2021 18. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

18.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

30-04-2021

GNU Wget < 1.18 - Arbitrary File Upload / Remote Code Execution (2)

Remote

Linux

03-05-2021

GitLab Community Edition (CE) 13.10.3 - User Enumeration

WebApps

Ruby

04-05-2021

Internship Portal Management System 1.0 - Remote Code Execution Via File Upload (Unauthenticated)

WebApps

PHP

05-05-2021

Marky 0.0.1 - XSS to RCE

WebApps

Multiple

06-05-2021

Wordpress Plugin WP Super Edit 2.5.4 - Remote File Upload

WebApps

PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

30-04-2021

 CVE-2021-20016

ZeroDay-Uzaktan Kod Yürütme/SonicWall

04-05-2021

CVE-2021-30663, CVE-2021-30665, CVE-2021-30666

ZeroDay-Kod Yürütme/Apple IOS, MACOS, WATCHOS

04-05-2021

CVE-2021-22893

ZeroDay-Rastgele Kod Yürütme/ Pulse Secure

05-05-2021

CVE-2021-21551

Ayrıcalık Yükseltme/DELL

06-05-2021

CVE-2020-11292

Yığın Taşması/Qualcomm MSM

06-05-2021

CVE-2021-1497, CVE-2021-1498

Komut Enjeksiyonu/Cisco

Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

03-05-2021

!PortDoor

Windows Backdoor/Rubin Tasarım Bürosu (Nükleer Denizaltı Tasarımcısı)

03-05-2021

RustyBuer

Malspam/E-posta

04-05-2021

Pingback

Rastgele Kod Yürütme/Windows

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

03-05-2021

AWS Anahtarları Sızdırıldı

AWS

 

Haber Yazısı 1

Passwordstate, Veri İhlalinin Ardından Devam Eden Kimlik Avı Saldırılarına Karşı Uyardı

TARİH: 30 Nisan 2021

Passwordstate şifre yönetimi uygulamasını etkileyen bir tedarik zinciri saldırısını onaylayan Avustralyalı yazılım firması Click Studios, müşterileri bilinmeyen bir tehdit aktörünün devam eden kimlik avı saldırısı konusunda uyardı.

Geçtiğimiz haftalarda Click Studios, saldırganların Passwordstate'in güncelleme mekanizmasını tehlikeye atmak için gelişmiş teknikler kullandığını ve bunu kullanıcı bilgisayarlarına kötü amaçlı yazılım yüklemek için kullandığını söyledi. Yalnızca 20 Nisan 20:33 UTC ve 22 Nisan 00:30 UTC arasında Yerinde Yükseltmeler gerçekleştiren müşterilerin etkileneceği söyleniyor.

Passwordstate yaklaşık 29.000 müşteriye hizmet verirken, Adelaide merkezli firma etkilenen toplam müşteri sayısının çok düşük olduğunu savundu. Ayrıca, ihlalin arkasındaki aktörün, ilgili izinsiz girişleri gerçekleştirmek için kendi yararına kullanmak amacıyla saldırıya ilişkin bilgiler için bu tür platformları aktif olarak izlediğini belirterek, kullanıcıları şirketten yazışmaları sosyal medyada yayınlamaktan kaçınmaya çağırıyor.

Yeni tespit edilen kimlik avı saldırısı, kötü amaçlı yazılımın yeni bir türünü göndermek için sosyal medyada müşteriler tarafından paylaşılan e-postalara dayanarak "Click Studios e-posta içeriğini çoğaltan" görünüşte meşru e-posta iletileri oluşturmayı içerir.

Şirket, "Kimlik avı saldırısı, müşterilerden Click Studios tarafından kontrol edilmeyen bir CDN Ağından değiştirilmiş bir Moserware.zip dosyasını indirmelerini talep ediyor ve bu dosya artık kaldırılmış gibi görünüyor" dedi. "İlk analiz, bunun hatalı biçimlendirilmiş Moserware.SecretSplitter.dll'nin yeni değiştirilmiş bir sürümüne sahip olduğunu ve yükleme sırasında yük dosyasını elde etmek için alternatif bir site kullanmayı denediğini gösteriyor."

Passwordstate hack, son aylarda gün ışığına çıkan en son yüksek profilli tedarik zinciri saldırısıdır ve karmaşık tehdit gruplarının, hassas devlet ve kurumsal bilgisayar ağlarına girmek için bir basamak olarak üçüncü taraflarca geliştirilen yazılımları nasıl hedeflediğini vurgulamaktadır.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Microsoft, Çok Çeşitli IoT ve OT Cihazlarını Etkileyen 'BadAlloc' Kusurlarını Buldu

TARİH: 30 Nisan 2021

Microsoft araştırmacıları geçtiğimiz hafta, endüstriyel, tıbbi ve kurumsal ağlarda kullanılan çok çeşitli Nesnelerin İnterneti (IoT) ve Operasyonel Teknoloji (OT) cihazlarını etkileyen iki düzine güvenlik açığını açıkladılar.

Microsoft'un IoT araştırma grubu "Bu uzaktan kod yürütme (RCE) güvenlik açıkları 25'ten fazla CVE'yi kapsıyor ve potansiyel olarak tüketici ve tıbbi IoT'den Endüstriyel IoT'ye, Operasyonel Teknolojiye ve endüstriyel kontrol sistemlerine kadar geniş bir etki alanı yelpazesini etkiliyor," dedi.

BadAlloc'tan etkilenen cihazların tam listesi aşağıdaki gibidir -

-Amazon FreeRTOS, Sürüm 10.4.1
-Apache Nuttx OS, Sürüm 9.1.0
-ARM CMSIS-RTOS2, 2.1.3'ten önceki sürümler
-ARM Mbed OS, Sürüm 6.3.0
-ARM mbed-uallaoc, Sürüm 1.3.0
-Cesanta Software Mongoose OS, v2.17.0
-eCosCentric eCosPro RTOS, Sürüm 2.0.1 - 4.5.3
-Google Cloud IoT Cihaz SDK'sı, Sürüm 1.0.2
-Linux Zephyr RTOS, 2.4.0'dan önceki sürümler
-MediaTek LinkIt SDK, 4.6.1'den önceki sürümler
-Micrium OS, Sürüm 5.10.1 ve öncesi
-Micrium uCOS II / uCOS III Sürümleri 1.39.0 ve öncesi
-NXP MCUXpresso SDK, 2.8.2'den önceki sürümler
-NXP MQX, Sürüm 5.1 ve öncesi
-Redhat newlib, 4.0.0'dan önceki sürümler
-RIOT OS, Sürüm 2020.01.1
-Samsung Tizen RT RTOS, 3.0.GBB'den önceki sürümler
-TencentOS-tiny, Sürüm 3.1.0
-Texas Instruments CC32XX, 4.40.00.07'den önceki sürümler
-Texas Instruments SimpleLink MSP432E4XX
-Texas Instruments SimpleLink-CC13XX, 4.40.00'dan önceki sürümler
-Texas Instruments SimpleLink-CC26XX, 4.40.00'dan önceki sürümler
-Texas Instruments SimpleLink-CC32XX, 4.10.03 öncesi sürümler
-Uclibc-NG, 1.0.36'dan önceki sürümler
-Windriver VxWorks, 7.0 öncesi

Microsoft, bugüne kadar bu güvenlik açıklarından yararlanıldığına dair hiçbir kanıt bulamadığını söyledi, ancak yamaların kullanılabilirliği, kötü bir aktörün düzeltmeleri tersine çevirmek ve onu potansiyel olarak savunmasız sürümlerini silahlandırmak için kullanmak üzere "yama farklılaştırma" adlı bir teknik kullanmasına izin verebilir.

Bu güvenlik açıklarından yararlanma riskini en aza indirmek için CISA, kuruluşların satıcı güncellemelerini mümkün olan en kısa sürede uygulamalarını, güvenlik duvarı engellerini dikmelerini ve sistem ağlarını iş ağlarından izole etmelerini ve internetten erişilemez kalmalarını sağlamak için kontrol sistemi cihazlarının açığa çıkmalarını kısıtlamalarını önerir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

UYARI ! Yeni 21Nails Exim Bugs, Milyonlarca E-posta Sunucusunu Etkiliyor

TARİH: 05 Mayıs 2021

Exim'in bakımcıları , yazılımlarında, kimliği doğrulanmamış saldırganların tam uzaktan kod yürütme ve kök ayrıcalıkları elde etmelerini sağlayabilecek 21 güvenlik açığını gidermek için yamalar yayınladılar .

Toplu olarak '21Nails ' olarak adlandırılan kusurlar, sunucuya yerel erişim gerektiren 11 güvenlik açığını ve uzaktan yararlanılabilecek diğer 10 zayıflığı içerir. Sorunlar Qualys tarafından keşfedildi ve 20 Ekim 2020'de Exim'e bildirildi.

21 hatanın hızlı bir özeti aşağıda listelenmiştir. Başarıyla istismar edilirse, e-posta ayarlarını değiştirmek ve hatta güvenliği ihlal edilmiş posta sunucularına yeni hesaplar eklemek için kullanılabilirler. Kusurlarla ilgili teknik detaylara buradan erişilebilir .

Yerel güvenlik açıkları:

-CVE-2020-28007: Exim'in günlük dizininde bağlantı saldırısı
-CVE-2020-28008: Exim'in biriktirme dizinindeki çeşitli saldırılar
-CVE-2020-28014: Keyfi dosya oluşturma ve bozma
-CVE-2021-27216: Keyfi dosya silme
-CVE-2020-28011: queue_run () içinde yığın arabellek taşması
-CVE-2020-28010: Sınır dışı yığınlar ana olarak yazılır ()
-CVE-2020-28013: parse_fix_phrase () içinde yığın arabellek taşması
-CVE-2020-28016: Sınır dışı yığınlar parse_fix_phrase () ile yazılır
-CVE-2020-28015: Biriktirme başlık dosyasına yeni satır ekleme (yerel)
-CVE-2020-28012: Ayrıcalıklı kanal için çalıştırıldığında kapat işareti eksik
-CVE-2020-28009: get_stdinput () içinde tamsayı taşması

Uzak güvenlik açıkları:

-CVE-2020-28017: Rece_add_recipient () içinde tamsayı taşması
-CVE-2020-28020: Receive_msg'de () tamsayı taşması
-CVE-2020-28023: Sınırların dışında okuma smtp_setup_msg ()
-CVE-2020-28021: Biriktirme başlık dosyasına yeni satır ekleme (uzak)
-CVE-2020-28022: Sınır dışı öbekleri ayıklama_seçeneğinde () okuyun ve yazın
-CVE-2020-28026: spool_read_header () içinde satır kesme ve enjeksiyon
-CVE-2020-28019: BDAT hatasından sonra işlev işaretçisini sıfırlayamama
-CVE-2020-28024: smtp_ungetc () içinde yığın arabelleği taşması
-CVE-2020-28018: tls-openssl.c'de serbest bıraktıktan sonra kullan
-CVE-2020-28025: pdkim_finish_bodyhash () 'de okunan sınır dışı yığınlar

Son Microsoft Exchange sunucu saldırılarının ışığında, e-posta sunucuları casusluk kampanyaları için kazançlı bir hedef olarak ortaya çıktığı için yamaların hemen uygulanması zorunludur. Geçmişte, Exim yazılımındaki kusurlar , etkilenen sunuculara kripto para madencilerini kurmak için bir Linux solucanı dağıtmak da dahil olmak üzere çeşitli saldırıları gerçekleştirmek için kötü aktörler tarafından aktif olarak istismar edildi .

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Intel ve AMD CPU'lardaki Yeni Spectre Kusurları Milyarlarca Bilgisayarı Etkiliyor

TARİH: 30 Nisan 2021

Modern işlemcileri etkileyen kritik güvenlik açıklarından oluşan bir sınıf olan Spectre Ocak 2018'de kamuoyuna açıklandığında, keşfin arkasındaki araştırmacılar, "Düzeltmesi kolay olmadığından, bizi epeyce rahatsız edecek," dediler. Nitekim, üç yıldan fazla oldu ve Spectre'nin görünürde sonu yok.

Spectre ve Meltdown'un ifşası Intel, ARM ve AMD gibi yonga üreticileri kötü amaçlı kodun parolaları, şifreleme anahtarlarını ve diğer değerli bilgileri okumasına izin veren güvenlik açıklarını hafifletmek için sürekli olarak savunmaları dahil etmek için çabalarken, geçen yıllarda ortaya çıkan saldırıların sonsuz çeşitleriyle birlikte doğrudan bir bilgisayarın çekirdek belleğinden bir tür baraj kapısı açtı.

Özünde bir zamanlama yan kanal saldırısı olan Spectre, farklı uygulamalar arasındaki izolasyonu ortadan kaldırır ve programları hafızadaki rastgele konumlara erişmeye kandırmak ve böylece sırlarını sızdırmak için CPU donanım uygulamalarında spekülatif yürütme adı verilen bir optimizasyon yönteminden yararlanır.

Yeni saldırı yöntemi , gizli bilgileri ifşa etmek için bir yan kanal olarak makine talimatlarını daha basit komutlara dönüştüren ve bilgi işlem sürecini hızlandıran bir çip üzerinde bileşen olan mikro işlem (diğer adıyla mikro işlem veya μops) önbelleğinden yararlanır. Mikro işlem önbellekleri, 2011'den beri üretilen Intel tabanlı makinelerde yerleşiktir.

Intel, kriptografik uygulamalara karşı zamanlama saldırılarına karşı koyma yönergelerinde , söylemesi yapmaktan daha kolay olan ve tek başına yazılım değişikliklerinin spekülatif yürütmeden kaynaklanan tehditleri yeterince hafifletememesini gerektiren bir uygulama olan sabit zamanlı programlama ilkelerine bağlı kalmayı tavsiye ediyor.

Buradaki asıl önemli nokta, Spectre güvenlik açıklarından yararlanmanın zor olmasıdır. Araştırmacılar, yeni saldırıdan korunmak için mikro işlem önbelleğini temizlemeyi, önbelleği ilk etapta kullanarak kazanılan performans avantajlarını dengeleyen, mikro işlem önbelleğindeki anormallikleri tespit etmek için performans sayaçlarından yararlanan ve onu bölümlere ayıran bir teknik önermektedir. koda atanan ayrıcalık düzeyine bağlıdır ve yetkisiz kodun daha yüksek ayrıcalıklar kazanmasını önler.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Passwordstate
  2. BadAlloc
  3. 21NaisEximBugs
  4. Spectre
  5. Zararlı Yazılımlar
  6. Zafiyetler
  7. Exploitler