EN
EN

2021 19. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

19.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

07-05-2021

WifiHotSpot 1.0.0.0 - 'WifiHotSpotService.exe' Unquoted Service Path

Local

Windows

10-05-2021

DHCP Broadband 4.1.0.1503 - 'dhcpt.exe' Unquoted Service Path

Local

Windows

11-05-2021

Odoo 12.0.20190101 - 'nssm.exe' Unquoted Service Path

Local

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

07-05-2021

CVE-2021-27569, CVE-2021-27570, CVE-2021-27571, CVE-2021-27572, CVE-2021-27573, CVE-2021-27574

Kod Yürütme/Android-iOS Remote Mouse

07-05-2021

TsuNAME

DNS

11-05-2021

!CVE-2021-28550, CVE-2021-21101, CVE-2021-21105

ZeroDay/Adobe

Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

07-05-2021

Moriya

Rootkit/Windows

11-05-2021

TeaBot

Trojan/Android Banking

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

12-05-2021

MPD Data Leak

BABUK Fidye Yazılımı

 

Haber Yazısı 1

Google'dan Bilmeniz Gereken 4 Büyük Gizlilik ve Güvenlik Güncellemesi

TARİH: 07 Mayıs 2021

Google, gizliliği ve güvenliği artırmak amacıyla iki faktörlü kimlik doğrulamayı tüm uygun kullanıcılara otomatik olarak sunma ve iOS tarzı gizlilik etiketlerini Android uygulama listelemelerine getirme gibi bir dizi kullanıcıya dönük ve temelde yapılan değişiklikleri duyurdu.

Şirket, "Bugün iki adımlı doğrulamaya (2SV) kaydolan kişilerden, oturum açtıklarında telefonlarında bir Google istemi aracılığıyla basit bir dokunuşla gerçekten onlar olduklarını doğrulamalarını istiyoruz.Yakında hesapları uygun şekilde yapılandırılmışsa kullanıcıları otomatik olarak 2 Adımlı Doğrulama'ya kaydetmeye başlayacağız." dedi .

Güvenlik güncelleme başlıkları aşağıda verildiği gibidir:

-Apple Benzeri Gizlilik Etiketlerini Almak İçin Google Play

-Google, Kapsayıcı Görüntülerini Doğrulamak İçin Cosign'ı Başlattı

-Google Chrome, Donanım Zorunlu Suistimal Koruması

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Dikkat ! Rus Hackerlar Vahşi Ortamda En Önemli 12 Zafiyeti İstismar Ediyor

TARİH: 08 Mayıs 2021

İngiltere ve ABD istihbarat teşkilatlarının Cuma günü ortaklaşa yayınladıkları yeni bir danışma belgesine göre , Rusya Dış İstihbarat Servisi'ne (SVR) bağlı siber operatörler , saldırı yöntemlerini kamuoyuna açıklamalarına yanıt olarak taktiklerini değiştirdiler .

Ulusal Siber Güvenlik Merkezi (NCSC) , "SVR siber operatörleri, ağ savunucularının daha fazla tespit ve iyileştirme çabalarından kaçınmak için TTP'lerini değiştirerek tepki vermiş gibi görünüyor" dedi .

Bunlar, güvenliği ihlal edilen kurbanlara erişimlerini sürdürmek için Sliver adlı açık kaynaklı bir aracın konuşlandırılmasını ve kullanım sonrası faaliyetleri yürütmek için Microsoft Exchange sunucularındaki ProxyLogon kusurlarından yararlanmayı içerir. Bu gelişme , SVR bağlantılı aktörlerin geçen ay SolarWinds tedarik zinciri saldırısına kamuoyu tarafından atfedilmesini takip ediyor . Düşman aynı zamanda Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear ve Yttrium gibi farklı lakaplar altında takip ediliyor.

SVR'nin APT29 grubunun ABD ve yabancı kuruluşlara sızmak için ilk erişim noktaları olarak kullandığı beş güvenlik açığını ayrıntılarıyla anlatan bir teknik rapor eşlik etti.

-CVE-2018-13379 - Fortinet FortiGate VPN
-CVE-2019-9670 - Synacor Zimbra İşbirliği Paketi
-CVE-2019-11510 - Pulse Secure Pulse Connect Güvenli VPN
-CVE-2019-19781 - Citrix Application Delivery Controller ve Gateway
-CVE-2020-4006 - VMware Workspace ONE Erişimi

Şimdi NCSC'ye göre, karışıma yedi güvenlik açığı daha eklendi, ancak APT29'un hedeflerine ilk erişimi sağlayabilecek yakın zamanda piyasaya sürülen genel güvenlik açıklarını "hızla" silah haline getirme olasılığı yüksek.

-CVE-2019-1653 - Cisco Small Business RV320 ve RV325 Yönlendiricileri
-CVE-2019-2725 - Oracle WebLogic Sunucusu
-CVE-2019-7609 - Kibana
-CVE-2020-5902 - F5 Büyük-IP
-CVE-2020-14882 - Oracle WebLogic Sunucusu
-CVE-2021-21972 - VMware vSphere
-CVE-2021-26855 - Microsoft Exchange Sunucusu

Ajans, "Ağ güvenlik ekipleri, yönettikleri ürünler için CVE duyurularını takiben güvenlik yamalarının derhal uygulanmasını sağlamalıdır" dedi.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Tor Çıkış Aktarıcılarının %25'inden Fazlası Kullanıcıların Karanlık Web Etkinliklerinde Görüntülendi

TARİH: 10 Mayıs 2021

Karanlık web altyapısı üzerine yapılan yeni bir araştırmaya göre, bilinmeyen bir tehdit aktörü, Şubat 2021'in başlarında tüm Tor ağ çıkış kapasitesinin %27'sinden fazlasını kontrol etmeyi başardı.

Pazar günü yayınlanan bir yazıda nusenu adıyla anılan bağımsız bir güvenlik araştırmacısı, "Tor kullanıcılarına saldıran varlık, bir yıldan fazla bir süredir aktif olarak tor kullanıcılarını sömürüyor ve saldırılarının ölçeğini yeni bir rekor seviyeye çıkardı. Bu kuruluşun kontrol ettiği ortalama çıkış oranı, son 12 ayda %14'ün üzerindeydi." dedi.

Bu, Aralık 2019'dan bu yana aktör tarafından gerçekleştirilen kötü niyetli Tor etkinliğini ortaya çıkarmak için gerçekleştirilen bir dizi çabanın en sonuncusu . Ocak 2020'de başladığı söylenen saldırılar ilk olarak Ağustos 2020'de aynı araştırmacı tarafından belgelendi ve ortaya çıkarıldı .

Tor, İnternette anonim iletişimi sağlamak için açık kaynaklı bir yazılımdır. Bir kullanıcının IP adresini ve konumunu ve kullanımını gözetim veya trafik analizinden gizlemek için ağ trafiğini bir dizi röle aracılığıyla yönlendirerek bir web talebinin kaynağını ve hedefini gizler. Orta röleler tipik olarak ağ üzerinde trafik alma ve onu iletme ile ilgilenirken, bir çıkış rölesi, Tor trafiğinin hedefine ulaşmadan önce geçtiği son düğümdür.

ABD Siber Güvenlik Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Temmuz 2020'deki bir danışma belgesinde, "Tor aracılığıyla yönlendirilen kötü amaçlı faaliyetlerin hedefi olma riski her kuruluş için benzersizdir. Bir kuruluş, bir tehdit aktörünün sistemlerini veya verilerini hedefleme olasılığını ve mevcut azaltma ve kontroller göz önüne alındığında tehdit aktörünün başarı olasılığını değerlendirerek kendi bireysel riskini belirlemelidir. Kuruluşlar, gelişmiş kalıcı tehditler (APT'ler), orta düzeyde karmaşık saldırganlar ve düşük vasıflı bireysel bilgisayar korsanlarından kuruluşlarına yönelik tehditlere karşı hafifletme kararlarını değerlendirmelidir. Hepsi geçmişte keşif ve saldırılar gerçekleştirmek için Tor'dan yararlandı. "dedi.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

ABD 17 Eyalette Akaryakıt Boru Hattı Siber Saldırısı Üzerinden Acil Durum İlan Etti

TARİH: 11 Mayıs 2021

ABD Doğu Kıyısı'nda tüketilen yakıtın %45'ini taşıyan Colonial Pipeline Cumartesi günü yaptığı açıklamada, bir fidye yazılımı saldırısı nedeniyle operasyonları durdurduğunu söyleyerek altyapının siber saldırılara karşı ne kadar savunmasız olduğunu bir kez daha gösterdi .

Şirket web sitesinde yaptığı açıklamada , "Colonial Pipeline Company 7 Mayıs'ta siber güvenlik saldırısının kurbanı olduğunu öğrendi. O zamandan beri bu olayın fidye yazılımı içerdiğini belirledik. Yanıt olarak, tüm boru hattı işlemlerini geçici olarak durduran ve bazı BT sistemlerimizi etkileyen tehdidi kontrol altına almak için bazı sistemleri proaktif olarak çevrimdışı duruma getirdik." dedi .

Kolonyal Boru Hattı, ABD'deki en büyük rafine ürün boru hattıdır ve 100 milyon galonluk bir sistem olan ve Teksas'ın Houston şehrinden New York Limanı'na taşınmasında görev alan 5.500 mil (8.851 km) sistemdir.

Bloomberg ve The Wall Street Journal'dan gelen haberlere göre, siber güvenlik firması FireEye'ın Mandiant olay müdahale bölümünün, DarkSide adlı bir fidye yazılımı türüne bağlı saldırıyla birlikte soruşturmaya yardımcı olduğu söyleniyor .

Colonial Pipeline'ın ağlarına yapılan fidye yazılımı saldırısı , ABD Federal Motorlu Taşıyıcı Güvenlik İdaresi'nin (FMCSA) 17 eyalette ve Columbia Bölgesi'nde (DC) bölgesel acil durum bildirimi yayınlamasına neden oldu .

Bildirim, Federal Motorlu Taşıyıcı Güvenlik Yönetmeliklerinin ( FMCSR'ler ) 390 ila 399 numaralı Bölümlerine geçici bir muafiyet sağlayarak, saldırıdan kaynaklanan arz kıtlıklarını gidermek için benzin, dizel ve rafine petrol ürünlerinin dönüşümlü olarak taşınmasına izin veriyor.

Boru hattının kapatılmasından etkilenen ve Acil Durum Bildirisine dahil edilen eyaletler ve yargı bölgeleri Alabama, Arkansas, Columbia Bölgesi, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, Kuzey Carolina, Pensilvanya, Güney Carolina, Tennessee, Teksas ve Virginia.

Colonial'ı hafta sonu boru hatlarından yakıt akışını durdurmaya zorlayan DarkSide fidye yazılımı saldırısının ardından, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Salı günüişletmeleri kesintileri önlemek için en iyi güvenlik uygulamalarını takip etmeye çağıran yeni bir tavsiye yayınladı. BT ve OT ağları arasında sağlam ağ bölümlendirmesinin uygulanması dahil; düzenli olarak manuel kontrollerin test edilmesi; ve yedeklemelerin periyodik olarak alınmasını ve ağ bağlantılarından izole edilmesini sağlanmalıdır.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

ABD İstihbarat Ajansları 5G Ağ Zayıflıkları Hakkında Uyardı

TARİH: 11 Mayıs 2021

Telekom standartlarının yetersiz uygulanması, tedarik zinciri tehditleri ve sistem mimarisindeki zayıflıklar, 5G ağları için büyük siber güvenlik riskleri oluşturabilir ve bu da onları, siber suçlular ve ulus devlet düşmanlarının değerli istihbarat için yararlanabilecekleri kazançlı bir hedef haline getirebilir.

5G'nin benimsenmesiyle ortaya çıkan riskleri ve güvenlik açıklarını belirlemeyi ve değerlendirmeyi amaçlayan analiz, pazartesi günü ABD Ulusal Güvenlik Ajansı (NSA) tarafından Ulusal İstihbarat Direktörlüğü (ODNI) ve İç Güvenlik Bakanlığı'nın (DHS) Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile ortaklaşa yayınlandı.

Raporda, "Yeni 5G politikaları ve standartları yayınlandıkça, son kullanıcıyı etkileyen tehditler için potansiyel var" denildi . "Örneğin, ulus devletler kendi tescilli teknolojilerine fayda sağlayan standartlar üzerinde gereksiz etkide bulunmaya çalışabilir ve müşterilerin diğer ekipman veya yazılımları kullanma tercihlerini sınırlayabilir."

Rapor özellikle, güncellenmesi, onarımı ve değiştirilmesi zor olabilecek güvenilmeyen tescilli teknolojileri ve ekipmanı benimsemenin yolunu açabilecek olan, teknik standartların geliştirilmesinde rakip ülkelerin aşırı etkisinden bahsediyor. Rapora göre ayrıca, ağ operatörleri tarafından uygulanmazsa kapıyı kötü niyetli saldırılara açık bırakabilecek, telekomünikasyon protokollerine yerleştirilmiş isteğe bağlı güvenlik kontrolleri de endişe verici.

NSA, ODNI ve CISA tarafından vurgulanan ikinci bir endişe alanı da tedarik zinciridir. Üçüncü taraf tedarikçilerden, satıcılardan ve hizmet sağlayıcılardan temin edilen bileşenler sahte olabilir veya tehlikeye atılabilir ve erken geliştirme sürecinde güvenlik açıkları ve kötü amaçlı yazılımlar eklenebilir, bu da tehdit aktörlerinin daha sonraki bir aşamada güvenlik açıklarından yararlanmasına olanak tanır.

Son olarak, 5G mimarisindeki zayıflıklar, çeşitli saldırıları gerçekleştirmek için bir atlama noktası olarak kullanılabilir. Bunların en önemlisi, kötü niyetli aktörler tarafından istismar edilebilecek kendi içsel eksiklikleriyle birlikte gelen 4G eski iletişim altyapısını destekleme ihtiyacını içerir. Bir diğeri, düşmanların farklı dilimlerden veri elde etmesine izin verebilecek ve hatta abonelere erişimi engelleyebilecek uygun olmayan dilim yönetimi sorunudur.

Ajanslar, "Bu tehditler ve güvenlik açıkları, kötü niyetli tehdit aktörleri tarafından kuruluşları ve kullanıcıları olumsuz yönde etkilemek için kullanılabilir. 5G tehdit vektörlerine sürekli odaklanma ve sistem mimarisindeki zayıflıkların erken tespiti olmadan, yeni güvenlik açıkları siber olayların etkisini artıracaktır." dedi.

[5] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Google
  2. Top12SecurityFlaws
  3. Tor
  4. ABDRansomware
  5. 5G
  6. Zararlı Yazılımlar
  7. Zafiyetler
  8. Exploitler