2021 18. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
18.Hafta Siber Güvenlik Haberleri
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
30-04-2021 |
GNU Wget < 1.18 - Arbitrary File Upload / Remote Code Execution (2) |
Remote |
Linux |
03-05-2021 |
WebApps |
Ruby |
|
04-05-2021 |
Internship Portal Management System 1.0 - Remote Code Execution Via File Upload (Unauthenticated) |
WebApps |
PHP |
05-05-2021 |
WebApps |
Multiple |
|
06-05-2021 |
WebApps |
PHP |
Güncel tüm exploitlere buradan ulaşabilirsiniz.
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Zafiyet Tür/Platform |
30-04-2021 |
ZeroDay-Uzaktan Kod Yürütme/SonicWall |
|
04-05-2021 |
ZeroDay-Kod Yürütme/Apple IOS, MACOS, WATCHOS |
|
04-05-2021 |
ZeroDay-Rastgele Kod Yürütme/ Pulse Secure |
|
05-05-2021 |
Ayrıcalık Yükseltme/DELL |
|
06-05-2021 |
Yığın Taşması/Qualcomm MSM |
|
06-05-2021 |
Komut Enjeksiyonu/Cisco |
Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Zararlı Yazılım Tür/Platform |
03-05-2021 |
Windows Backdoor/Rubin Tasarım Bürosu (Nükleer Denizaltı Tasarımcısı) |
|
03-05-2021 |
Malspam/E-posta |
|
04-05-2021 |
Rastgele Kod Yürütme/Windows |
Haftanın Veri İhlalleri
Tarih |
Veri İhlali Başlığı |
Veri İhlali Tür/Platform |
03-05-2021 |
AWS |
Haber Yazısı 1
Passwordstate, Veri İhlalinin Ardından Devam Eden Kimlik Avı Saldırılarına Karşı Uyardı
TARİH: 30 Nisan 2021
Passwordstate şifre yönetimi uygulamasını etkileyen bir tedarik zinciri saldırısını onaylayan Avustralyalı yazılım firması Click Studios, müşterileri bilinmeyen bir tehdit aktörünün devam eden kimlik avı saldırısı konusunda uyardı.
Geçtiğimiz haftalarda Click Studios, saldırganların Passwordstate'in güncelleme mekanizmasını tehlikeye atmak için gelişmiş teknikler kullandığını ve bunu kullanıcı bilgisayarlarına kötü amaçlı yazılım yüklemek için kullandığını söyledi. Yalnızca 20 Nisan 20:33 UTC ve 22 Nisan 00:30 UTC arasında Yerinde Yükseltmeler gerçekleştiren müşterilerin etkileneceği söyleniyor.
Passwordstate yaklaşık 29.000 müşteriye hizmet verirken, Adelaide merkezli firma etkilenen toplam müşteri sayısının çok düşük olduğunu savundu. Ayrıca, ihlalin arkasındaki aktörün, ilgili izinsiz girişleri gerçekleştirmek için kendi yararına kullanmak amacıyla saldırıya ilişkin bilgiler için bu tür platformları aktif olarak izlediğini belirterek, kullanıcıları şirketten yazışmaları sosyal medyada yayınlamaktan kaçınmaya çağırıyor.
Yeni tespit edilen kimlik avı saldırısı, kötü amaçlı yazılımın yeni bir türünü göndermek için sosyal medyada müşteriler tarafından paylaşılan e-postalara dayanarak "Click Studios e-posta içeriğini çoğaltan" görünüşte meşru e-posta iletileri oluşturmayı içerir.
Şirket, "Kimlik avı saldırısı, müşterilerden Click Studios tarafından kontrol edilmeyen bir CDN Ağından değiştirilmiş bir Moserware.zip dosyasını indirmelerini talep ediyor ve bu dosya artık kaldırılmış gibi görünüyor" dedi. "İlk analiz, bunun hatalı biçimlendirilmiş Moserware.SecretSplitter.dll'nin yeni değiştirilmiş bir sürümüne sahip olduğunu ve yükleme sırasında yük dosyasını elde etmek için alternatif bir site kullanmayı denediğini gösteriyor."
Passwordstate hack, son aylarda gün ışığına çıkan en son yüksek profilli tedarik zinciri saldırısıdır ve karmaşık tehdit gruplarının, hassas devlet ve kurumsal bilgisayar ağlarına girmek için bir basamak olarak üçüncü taraflarca geliştirilen yazılımları nasıl hedeflediğini vurgulamaktadır.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Microsoft, Çok Çeşitli IoT ve OT Cihazlarını Etkileyen 'BadAlloc' Kusurlarını Buldu
TARİH: 30 Nisan 2021
Microsoft araştırmacıları geçtiğimiz hafta, endüstriyel, tıbbi ve kurumsal ağlarda kullanılan çok çeşitli Nesnelerin İnterneti (IoT) ve Operasyonel Teknoloji (OT) cihazlarını etkileyen iki düzine güvenlik açığını açıkladılar.
Microsoft'un IoT araştırma grubu "Bu uzaktan kod yürütme (RCE) güvenlik açıkları 25'ten fazla CVE'yi kapsıyor ve potansiyel olarak tüketici ve tıbbi IoT'den Endüstriyel IoT'ye, Operasyonel Teknolojiye ve endüstriyel kontrol sistemlerine kadar geniş bir etki alanı yelpazesini etkiliyor," dedi.
BadAlloc'tan etkilenen cihazların tam listesi aşağıdaki gibidir -
-Amazon FreeRTOS, Sürüm 10.4.1
-Apache Nuttx OS, Sürüm 9.1.0
-ARM CMSIS-RTOS2, 2.1.3'ten önceki sürümler
-ARM Mbed OS, Sürüm 6.3.0
-ARM mbed-uallaoc, Sürüm 1.3.0
-Cesanta Software Mongoose OS, v2.17.0
-eCosCentric eCosPro RTOS, Sürüm 2.0.1 - 4.5.3
-Google Cloud IoT Cihaz SDK'sı, Sürüm 1.0.2
-Linux Zephyr RTOS, 2.4.0'dan önceki sürümler
-MediaTek LinkIt SDK, 4.6.1'den önceki sürümler
-Micrium OS, Sürüm 5.10.1 ve öncesi
-Micrium uCOS II / uCOS III Sürümleri 1.39.0 ve öncesi
-NXP MCUXpresso SDK, 2.8.2'den önceki sürümler
-NXP MQX, Sürüm 5.1 ve öncesi
-Redhat newlib, 4.0.0'dan önceki sürümler
-RIOT OS, Sürüm 2020.01.1
-Samsung Tizen RT RTOS, 3.0.GBB'den önceki sürümler
-TencentOS-tiny, Sürüm 3.1.0
-Texas Instruments CC32XX, 4.40.00.07'den önceki sürümler
-Texas Instruments SimpleLink MSP432E4XX
-Texas Instruments SimpleLink-CC13XX, 4.40.00'dan önceki sürümler
-Texas Instruments SimpleLink-CC26XX, 4.40.00'dan önceki sürümler
-Texas Instruments SimpleLink-CC32XX, 4.10.03 öncesi sürümler
-Uclibc-NG, 1.0.36'dan önceki sürümler
-Windriver VxWorks, 7.0 öncesi
Microsoft, bugüne kadar bu güvenlik açıklarından yararlanıldığına dair hiçbir kanıt bulamadığını söyledi, ancak yamaların kullanılabilirliği, kötü bir aktörün düzeltmeleri tersine çevirmek ve onu potansiyel olarak savunmasız sürümlerini silahlandırmak için kullanmak üzere "yama farklılaştırma" adlı bir teknik kullanmasına izin verebilir.
Bu güvenlik açıklarından yararlanma riskini en aza indirmek için CISA, kuruluşların satıcı güncellemelerini mümkün olan en kısa sürede uygulamalarını, güvenlik duvarı engellerini dikmelerini ve sistem ağlarını iş ağlarından izole etmelerini ve internetten erişilemez kalmalarını sağlamak için kontrol sistemi cihazlarının açığa çıkmalarını kısıtlamalarını önerir.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 3
UYARI ! Yeni 21Nails Exim Bugs, Milyonlarca E-posta Sunucusunu Etkiliyor
TARİH: 05 Mayıs 2021
Exim'in bakımcıları , yazılımlarında, kimliği doğrulanmamış saldırganların tam uzaktan kod yürütme ve kök ayrıcalıkları elde etmelerini sağlayabilecek 21 güvenlik açığını gidermek için yamalar yayınladılar .
Toplu olarak '21Nails ' olarak adlandırılan kusurlar, sunucuya yerel erişim gerektiren 11 güvenlik açığını ve uzaktan yararlanılabilecek diğer 10 zayıflığı içerir. Sorunlar Qualys tarafından keşfedildi ve 20 Ekim 2020'de Exim'e bildirildi.
21 hatanın hızlı bir özeti aşağıda listelenmiştir. Başarıyla istismar edilirse, e-posta ayarlarını değiştirmek ve hatta güvenliği ihlal edilmiş posta sunucularına yeni hesaplar eklemek için kullanılabilirler. Kusurlarla ilgili teknik detaylara buradan erişilebilir .
Yerel güvenlik açıkları:
-CVE-2020-28007: Exim'in günlük dizininde bağlantı saldırısı
-CVE-2020-28008: Exim'in biriktirme dizinindeki çeşitli saldırılar
-CVE-2020-28014: Keyfi dosya oluşturma ve bozma
-CVE-2021-27216: Keyfi dosya silme
-CVE-2020-28011: queue_run () içinde yığın arabellek taşması
-CVE-2020-28010: Sınır dışı yığınlar ana olarak yazılır ()
-CVE-2020-28013: parse_fix_phrase () içinde yığın arabellek taşması
-CVE-2020-28016: Sınır dışı yığınlar parse_fix_phrase () ile yazılır
-CVE-2020-28015: Biriktirme başlık dosyasına yeni satır ekleme (yerel)
-CVE-2020-28012: Ayrıcalıklı kanal için çalıştırıldığında kapat işareti eksik
-CVE-2020-28009: get_stdinput () içinde tamsayı taşması
Uzak güvenlik açıkları:
-CVE-2020-28017: Rece_add_recipient () içinde tamsayı taşması
-CVE-2020-28020: Receive_msg'de () tamsayı taşması
-CVE-2020-28023: Sınırların dışında okuma smtp_setup_msg ()
-CVE-2020-28021: Biriktirme başlık dosyasına yeni satır ekleme (uzak)
-CVE-2020-28022: Sınır dışı öbekleri ayıklama_seçeneğinde () okuyun ve yazın
-CVE-2020-28026: spool_read_header () içinde satır kesme ve enjeksiyon
-CVE-2020-28019: BDAT hatasından sonra işlev işaretçisini sıfırlayamama
-CVE-2020-28024: smtp_ungetc () içinde yığın arabelleği taşması
-CVE-2020-28018: tls-openssl.c'de serbest bıraktıktan sonra kullan
-CVE-2020-28025: pdkim_finish_bodyhash () 'de okunan sınır dışı yığınlar
Son Microsoft Exchange sunucu saldırılarının ışığında, e-posta sunucuları casusluk kampanyaları için kazançlı bir hedef olarak ortaya çıktığı için yamaların hemen uygulanması zorunludur. Geçmişte, Exim yazılımındaki kusurlar , etkilenen sunuculara kripto para madencilerini kurmak için bir Linux solucanı dağıtmak da dahil olmak üzere çeşitli saldırıları gerçekleştirmek için kötü aktörler tarafından aktif olarak istismar edildi .
[3] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 4
Intel ve AMD CPU'lardaki Yeni Spectre Kusurları Milyarlarca Bilgisayarı Etkiliyor
TARİH: 30 Nisan 2021
Modern işlemcileri etkileyen kritik güvenlik açıklarından oluşan bir sınıf olan Spectre Ocak 2018'de kamuoyuna açıklandığında, keşfin arkasındaki araştırmacılar, "Düzeltmesi kolay olmadığından, bizi epeyce rahatsız edecek," dediler. Nitekim, üç yıldan fazla oldu ve Spectre'nin görünürde sonu yok.
Spectre ve Meltdown'un ifşası Intel, ARM ve AMD gibi yonga üreticileri kötü amaçlı kodun parolaları, şifreleme anahtarlarını ve diğer değerli bilgileri okumasına izin veren güvenlik açıklarını hafifletmek için sürekli olarak savunmaları dahil etmek için çabalarken, geçen yıllarda ortaya çıkan saldırıların sonsuz çeşitleriyle birlikte doğrudan bir bilgisayarın çekirdek belleğinden bir tür baraj kapısı açtı.
Özünde bir zamanlama yan kanal saldırısı olan Spectre, farklı uygulamalar arasındaki izolasyonu ortadan kaldırır ve programları hafızadaki rastgele konumlara erişmeye kandırmak ve böylece sırlarını sızdırmak için CPU donanım uygulamalarında spekülatif yürütme adı verilen bir optimizasyon yönteminden yararlanır.
Yeni saldırı yöntemi , gizli bilgileri ifşa etmek için bir yan kanal olarak makine talimatlarını daha basit komutlara dönüştüren ve bilgi işlem sürecini hızlandıran bir çip üzerinde bileşen olan mikro işlem (diğer adıyla mikro işlem veya μops) önbelleğinden yararlanır. Mikro işlem önbellekleri, 2011'den beri üretilen Intel tabanlı makinelerde yerleşiktir.
Intel, kriptografik uygulamalara karşı zamanlama saldırılarına karşı koyma yönergelerinde , söylemesi yapmaktan daha kolay olan ve tek başına yazılım değişikliklerinin spekülatif yürütmeden kaynaklanan tehditleri yeterince hafifletememesini gerektiren bir uygulama olan sabit zamanlı programlama ilkelerine bağlı kalmayı tavsiye ediyor.
Buradaki asıl önemli nokta, Spectre güvenlik açıklarından yararlanmanın zor olmasıdır. Araştırmacılar, yeni saldırıdan korunmak için mikro işlem önbelleğini temizlemeyi, önbelleği ilk etapta kullanarak kazanılan performans avantajlarını dengeleyen, mikro işlem önbelleğindeki anormallikleri tespit etmek için performans sayaçlarından yararlanan ve onu bölümlere ayıran bir teknik önermektedir. koda atanan ayrıcalık düzeyine bağlıdır ve yetkisiz kodun daha yüksek ayrıcalıklar kazanmasını önler.
[4] Haber ayrıntılarına buradan ulaşabilirsiniz.