2021 20. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
20.Hafta Siber Güvenlik Haberleri
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
13-05-2021 |
Microsoft Internet Explorer 8/11 and WPAD service 'Jscript.dll' - Use-After-Free |
Local |
Windows_x86-64 |
14-05-2021 |
Podcast Generator 3.1 - 'Long Description' Persistent Cross-Site Scripting (XSS) |
WebApps |
PHP |
17-05-2021 |
WebApps |
PHP |
|
18-05-2021 |
WebApps |
Windows |
Güncel tüm exploitlere buradan ulaşabilirsiniz.
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Zafiyet Tür/Platform |
14-05-2021 |
TensorFlow/DOS |
|
17-05-2021 |
SITEL CAP-PRX/Hassas Bilgilerin Açık Metin İletimi |
|
18-05-2021 |
DOS |
Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Zararlı Yazılım Tür/Platform |
14-05-2021 |
Windows |
|
14-05-2021 |
PHP Based Backdoor |
|
17-05-2021 |
RAT |
|
18-05-2021 |
Banking Trojan |
Haftanın Veri İhlalleri
Tarih |
Veri İhlali Başlığı |
Veri İhlali Tür/Platform |
14-05-2021 |
Kaynak Kod İhlali |
Haber Yazısı 1
Neredeyse Tüm Wi-Fi Cihazları Yeni FragAttack'lara Karşı Savunmasız
TARİH: 12 Mayıs 2021
Wi-Fi'yi destekleyen IEEE 802.11 teknik standardında üç tasarım ve birden fazla uygulama kusuru açıklanmıştır ve potansiyel olarak bir düşmanın bir sistem üzerinde kontrolü ele geçirmesine ve gizli verileri yağmalamasına olanak tanır.
FragAttacks (FRgmentation ve Aggregation Attacks'ın kısaltması) olarak adlandırılan zayıflıklar, Wired Equivalent Privacy'den (WEP) Wi-Fi Protected Access 3'e (WPA3) kadar tüm Wi-Fi güvenlik protokollerini etkiler. Bu durumda neredeyse her kablosuz cihaz saldırı riski altında.
New York Üniversitesi Abu Dabi'de güvenlik akademisyeni Mathy Vanhoef, "Bir kurbanın telsiz menzilindeki bir düşman, kullanıcı bilgilerini çalmak veya cihazlara saldırmak için bu güvenlik açıklarını kötüye kullanabilir. Deneyler, her Wi-Fi ürününün en az bir güvenlik açığından etkilendiğini ve çoğu ürünün birkaç güvenlik açığından etkilendiğini gösteriyor." dedi.
IEEE 802.11, Wi-Fi ağ protokolleri ailesini kullanan tüm modern cihazlar için temel sağlar ve dizüstü bilgisayarların, tabletlerin, yazıcıların, akıllı telefonların, akıllı hoparlörlerin ve diğer cihazların birbirleriyle iletişim kurmasına ve kablosuz bir yönlendirici aracılığıyla İnternet'e erişmesine izin verir.
12 kusurları listesi aşağıdaki gibidir
-CVE-2020-24588 : SPP olmayan A-MSDU çerçeveleri kabul etme
-CVE-2020-24587 : Farklı anahtarlar altında şifrelenmiş parçaları yeniden birleştirme
-CVE-2020-24586 : Bir ağa (yeniden) bağlanırken bellekten parçalar temizlenmiyor
-CVE-2020-26145 : Düz metin yayın parçalarını tam kareler olarak kabul etme (şifreli bir ağda)
-CVE-2020-26144 : EtherType EAPOL (şifreli bir ağda) içeren bir RFC1042 başlığıyla başlayan düz metin A-MSDU çerçevelerini kabul etme
-CVE-2020-26140 : Korumalı bir ağda düz metin veri çerçevelerini kabul etme
-CVE-2020-26143 : Korumalı bir ağda parçalanmış düz metin veri çerçevelerini kabul etme
-CVE-2020-26139 : Gönderenin kimliği henüz doğrulanmamış olsa bile EAPOL çerçevelerini iletme
-CVE-2020-26146 : Ardışık olmayan paket numaralarıyla şifrelenmiş parçaları yeniden birleştirme
-CVE-2020-26147 : Karışık şifreli / düz metin parçalarını yeniden birleştirme
-CVE-2020-26142 : Parçalanmış kareleri tam kareler olarak işleme
-CVE-2020-26141 : Parçalanmış çerçevelerin TKIP MIC'sini doğrulamıyor
Kötü bir aktör, rastgele ağ paketlerini enjekte etmek, kullanıcı verilerini engellemek ve dışarı sızmak, hizmet reddi saldırıları başlatmak ve hatta muhtemelen WPA veya WPA2 ağlarındaki paketlerin şifresini çözmek için bu kusurlardan yararlanabilir.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Colonial Boru Hattı Siber Suçlulara Fidye Olarak Yaklaşık 5 Milyon Dolar Ödedi
TARİH: 14 Mayıs 2021
Colonial Pipeline geçtiğimiz perşembe günü, BT sistemlerini hedef alan bir fidye yazılımı bulaşmasının ardından yaklaşık bir hafta sonra tüm boru hattı sistemine operasyonları geri yükledi ve bildirildiğine göre bilgisayar ağlarının kontrolünü yeniden kazanmak için yaklaşık 5 milyon $ 'lık para harcamaya zorladı .
Şirket perşembe akşamı yaptığı açıklamada, "Bu yeniden başlatmanın ardından, ürün teslimat tedarik zincirinin normale dönmesi birkaç gün sürecek. Colonial Pipeline tarafından hizmet verilen bazı pazarlar, bu başlangıç döneminde aralıklı hizmet kesintileri yaşayabilir veya yaşamaya devam edebilir. Colonial, mümkün olduğu kadar benzin, dizel ve jet yakıtını güvenli bir şekilde hareket ettirecek ve piyasalar normale dönene kadar bunu yapmaya devam edecek. " dedi.
SolarWinds, Microsoft Exchange ve Colonial Pipeline'ı hedefleyen son siber saldırı dalgası , ABD hükümetini "federal ağları koruyarak, ABD hükümeti ile özel sektör arasında siber konularda bilgi paylaşımını geliştirerek savunmaları güçlendirmek için adımlar atmaya ve Amerika Birleşik Devletleri'nin olaylara meydana geldiklerinde müdahale etme yeteneğini güçlendirmeye sevk etti.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 3
Siber Saldırganlar Kötü Amaçlı Yazılımları Dosyasız Olarak Dağıtmak için Microsoft Derleme Motorunu Kullanıyor
TARİH: 14 Mayıs 2021
Siber saldırganlar, hedeflenen Windows sistemlerinde uzaktan erişim truva atları ve parola çalan kötü amaçlı yazılımları dosyasız olarak göndermek için Microsoft Build Engine'i (MSBuild) kötüye kullanıyor.
Aktif olarak devam eden kampanyanın geçen ay ortaya çıktığı söyleniyor, siber güvenlik firması Anomali'den araştırmacılar Perşembe günü yaptığı açıklamada , kötü amaçlı yapı dosyalarının kodlanmış yürütülebilir dosyalar ve arka kapıları dağıtan kabuk kodu ile gömülü geldiğini ve düşmanların kurbanların makinelerini kontrol etmelerine ve hassas bilgileri çalmalarına izin verdiğini söyledi.
MSBuild, Microsoft tarafından geliştirilen ve kaynak kodunu derlemeye, paketlemeye, test etmeye ve uygulamaları dağıtmaya izin veren açık kaynaklı bir .NET ve Visual Studio oluşturma aracıdır.
Anomali araştırmacıları Tara Gould ve Gage Mele, "Bu kampanyanın arkasındaki tehdit aktörleri, güvenlik önlemlerini atlamanın bir yolu olarak dosyasız teslimatı kullandılar ve bu teknik, aktörler tarafından çeşitli hedefler ve motivasyonlar için kullanılıyor. Bu kampanya, tek başına virüsten koruma yazılımına güvenmenin siber savunma için yetersiz olduğunu ve kötü amaçlı yazılımları virüsten koruma teknolojisinden gizlemek için yasal kod kullanımının etkili olduğunu ve katlanarak arttığını vurguluyor." dedi.
[3] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 4
Uzmanlar, 58 Android Stalkerware Uygulamasının Kontrolünün Ele Geçirebileği Konusunda Uyardı
TARİH: 18 Mayıs 2021
Çeşitli satıcılara ait 58 Android takip yazılımı uygulamasında, kötü niyetli bir aktörün bir kurbanın cihazının kontrolünü ele geçirmesine, bir takipçinin hesabını ele geçirmesine, verilere müdahale etmesine, uzaktan kod yürütmesine olanak verebilecek toplam 158 gizlilik ve güvenlik sorunu tespit etti.
Slovak siber güvenlik firması ESET tarafından Android platformu için 86 takip yazılımı uygulamasının bir analizinden gelen yeni bulgular, yalnızca etik olmayan bir uygulamanın aynı zamanda mağdurların özel ve mahrem bilgilerini de açığa çıkarabilecek istenmeyen sonuçlarının altını çiziyor. Ayrıca kurbanları siber saldırı ve dolandırıcılık riskiyle karşı karşıya bırakır.
Bugüne kadar yalnızca altı satıcı, uygulamalarında tanımlanan sorunları çözdü. 44 satıcı ifşaları kabul etmemeyi seçerken, diğer yedi firma yaklaşan güncellemedeki kusurları gidermeyi düşündüklerini iddia etti.
Ortaya çıkarılan en yaygın sorunlar arasında şunlar yer almaktadır:
-Dokuz farklı tedarikçinin uygulamaları, Droid-Watcher adlı açık kaynaklı bir Android casus yazılımına dayanıyor ve bir satıcı, izleme uygulaması olarak bir Metasploit yükünü kullanıyor.
-Bazı uygulamalarda, yazılımın kolay çalınmasına izin veren, açık metin olarak kodlanmış lisans anahtarları vardır. ESET tarafından analiz edilen diğer uygulamalar, cihazın güvenliğini kasıtlı olarak zayıflatmak için bildirimleri ve Google Play Protect'i devre dışı bırakır.
-22 uygulama, kullanıcıların kişisel olarak tanımlanabilir bilgilerini gizli yazılım sunucusuna şifrelenmemiş bir bağlantı üzerinden iletir, böylece aynı ağdaki bir rakibin ortadaki adam saldırısı düzenlemesine ve iletilen verileri değiştirmesine izin verir.
-19 uygulama, tuş vuruş kayıtları, fotoğraflar, kayıtlı telefon görüşmeleri ve ses, takvim etkinlikleri, tarayıcı geçmişi, kişi listeleri gibi hassas bilgileri harici medyada depolar. Bu, harici depolamaya erişimi olan herhangi bir üçüncü taraf uygulamasının bu dosyaları ek izin olmadan okumasına izin verebilir.
-17 uygulama, sunucularda depolanan kullanıcı bilgilerini herhangi bir kimlik doğrulaması gerektirmeden yetkisiz kullanıcılara ifşa eder ve saldırgana arama günlüklerine, fotoğraflara, e-posta adreslerine, IP günlüklerine, IMEI numaralarına, telefon numaralarına, Facebook ve WhatsApp mesajlarına ve GPS konumlarına tam erişim sağlar.
-17 uygulama, sunucuları aracılığıyla istemci bilgilerini sızdırıyor, böylece bir kurbanın, cihazın IMEI numarasını kullanarak takipçiyle ilgili bilgileri almasına ve "cihaz kimliklerini kaba kuvvetle zorlama ve tüm takip yazılım istemcilerini boşaltma fırsatı" yaratmasına olanak tanıyor.
-15 uygulama, kurulumun hemen ardından ve hatta takip eden kişi kaydolup bir hesap oluşturmadan önce bir cihazdan yetkisiz verileri sunuculara aktarır.
-13 uygulama, kurban telefonundan yüklenen veriler için yeterli doğrulama korumasına sahip değil, uygulamalar iletişim sırasında cihazı tanımlamak için yalnızca IMEI numaralarına güveniyor.
[4] Haber ayrıntılarına buradan ulaşabilirsiniz.
Kaynakça