EN
EN

2021 20. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

20.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

13-05-2021

Microsoft Internet Explorer 8/11 and WPAD service 'Jscript.dll' - Use-After-Free

Local

Windows_x86-64

14-05-2021

Podcast Generator 3.1 - 'Long Description' Persistent Cross-Site Scripting (XSS)

WebApps

PHP

17-05-2021

Dental Clinic Appointment Reservation System 1.0 - 'Firstname' Persistent Cross Site Scripting (Authenticated)

WebApps

PHP

18-05-2021

Microsoft Exchange 2019 - Unauthenticated Email Download

WebApps

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

14-05-2021

CVE-2021-29523

TensorFlow/DOS

17-05-2021

CVE-2021-32456

SITEL CAP-PRX/Hassas Bilgilerin Açık Metin İletimi

18-05-2021

CVE-2021-3200

DOS

Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

14-05-2021

New Windows Malware

Windows

14-05-2021

Smilodon or Megalodon

PHP Based Backdoor

17-05-2021

AutoHotkey (AHK)

RAT

18-05-2021

Bizarro Banking

Banking Trojan

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

14-05-2021

Rapid7 Source Code Breached in Codecov Supply

Kaynak Kod İhlali

 

Haber Yazısı 1

Neredeyse Tüm Wi-Fi Cihazları Yeni FragAttack'lara Karşı Savunmasız

TARİH: 12 Mayıs 2021

Wi-Fi'yi destekleyen IEEE 802.11 teknik standardında üç tasarım ve birden fazla uygulama kusuru açıklanmıştır ve potansiyel olarak bir düşmanın bir sistem üzerinde kontrolü ele geçirmesine ve gizli verileri yağmalamasına olanak tanır.

FragAttacks (FRgmentation ve Aggregation Attacks'ın kısaltması) olarak adlandırılan zayıflıklar, Wired Equivalent Privacy'den (WEP) Wi-Fi Protected Access 3'e (WPA3) kadar tüm Wi-Fi güvenlik protokollerini etkiler. Bu durumda neredeyse her kablosuz cihaz saldırı riski altında.

New York Üniversitesi Abu Dabi'de güvenlik akademisyeni Mathy Vanhoef, "Bir kurbanın telsiz menzilindeki bir düşman, kullanıcı bilgilerini çalmak veya cihazlara saldırmak için bu güvenlik açıklarını kötüye kullanabilir. Deneyler, her Wi-Fi ürününün en az bir güvenlik açığından etkilendiğini ve çoğu ürünün birkaç güvenlik açığından etkilendiğini gösteriyor." dedi.

IEEE 802.11, Wi-Fi ağ protokolleri ailesini kullanan tüm modern cihazlar için temel sağlar ve dizüstü bilgisayarların, tabletlerin, yazıcıların, akıllı telefonların, akıllı hoparlörlerin ve diğer cihazların birbirleriyle iletişim kurmasına ve kablosuz bir yönlendirici aracılığıyla İnternet'e erişmesine izin verir.

12 kusurları listesi aşağıdaki gibidir

-CVE-2020-24588 : SPP olmayan A-MSDU çerçeveleri kabul etme
-CVE-2020-24587 : Farklı anahtarlar altında şifrelenmiş parçaları yeniden birleştirme
-CVE-2020-24586 : Bir ağa (yeniden) bağlanırken bellekten parçalar temizlenmiyor
-CVE-2020-26145 : Düz metin yayın parçalarını tam kareler olarak kabul etme (şifreli bir ağda)
-CVE-2020-26144 : EtherType EAPOL (şifreli bir ağda) içeren bir RFC1042 başlığıyla başlayan düz metin A-MSDU çerçevelerini kabul etme
-CVE-2020-26140 : Korumalı bir ağda düz metin veri çerçevelerini kabul etme
-CVE-2020-26143 : Korumalı bir ağda parçalanmış düz metin veri çerçevelerini kabul etme
-CVE-2020-26139 : Gönderenin kimliği henüz doğrulanmamış olsa bile EAPOL çerçevelerini iletme
-CVE-2020-26146 : Ardışık olmayan paket numaralarıyla şifrelenmiş parçaları yeniden birleştirme
-CVE-2020-26147 : Karışık şifreli / düz metin parçalarını yeniden birleştirme
-CVE-2020-26142 : Parçalanmış kareleri tam kareler olarak işleme
-CVE-2020-26141 : Parçalanmış çerçevelerin TKIP MIC'sini doğrulamıyor

Kötü bir aktör, rastgele ağ paketlerini enjekte etmek, kullanıcı verilerini engellemek ve dışarı sızmak, hizmet reddi saldırıları başlatmak ve hatta muhtemelen WPA veya WPA2 ağlarındaki paketlerin şifresini çözmek için bu kusurlardan yararlanabilir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Colonial Boru Hattı Siber Suçlulara Fidye Olarak Yaklaşık 5 Milyon Dolar Ödedi

TARİH: 14 Mayıs 2021

Colonial Pipeline geçtiğimiz perşembe günü, BT sistemlerini hedef alan bir fidye yazılımı bulaşmasının ardından yaklaşık bir hafta sonra tüm boru hattı sistemine operasyonları geri yükledi ve bildirildiğine göre bilgisayar ağlarının kontrolünü yeniden kazanmak için yaklaşık 5 milyon $ 'lık para harcamaya zorladı .

Şirket perşembe akşamı yaptığı açıklamada, "Bu yeniden başlatmanın ardından, ürün teslimat tedarik zincirinin normale dönmesi birkaç gün sürecek. Colonial Pipeline tarafından hizmet verilen bazı pazarlar, bu başlangıç döneminde aralıklı hizmet kesintileri yaşayabilir veya yaşamaya devam edebilir. Colonial, mümkün olduğu kadar benzin, dizel ve jet yakıtını güvenli bir şekilde hareket ettirecek ve piyasalar normale dönene kadar bunu yapmaya devam edecek. " dedi.

SolarWinds, Microsoft Exchange ve Colonial Pipeline'ı hedefleyen son siber saldırı dalgası , ABD hükümetini "federal ağları koruyarak, ABD hükümeti ile özel sektör arasında siber konularda bilgi paylaşımını geliştirerek savunmaları güçlendirmek için adımlar atmaya ve Amerika Birleşik Devletleri'nin olaylara meydana geldiklerinde müdahale etme yeteneğini güçlendirmeye sevk etti.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Siber Saldırganlar Kötü Amaçlı Yazılımları Dosyasız Olarak Dağıtmak için Microsoft Derleme Motorunu Kullanıyor

TARİH: 14 Mayıs 2021

Siber saldırganlar, hedeflenen Windows sistemlerinde uzaktan erişim truva atları ve parola çalan kötü amaçlı yazılımları dosyasız olarak göndermek için Microsoft Build Engine'i (MSBuild) kötüye kullanıyor.

Aktif olarak devam eden kampanyanın geçen ay ortaya çıktığı söyleniyor, siber güvenlik firması Anomali'den araştırmacılar Perşembe günü yaptığı açıklamada , kötü amaçlı yapı dosyalarının kodlanmış yürütülebilir dosyalar ve arka kapıları dağıtan kabuk kodu ile gömülü geldiğini ve düşmanların kurbanların makinelerini kontrol etmelerine ve hassas bilgileri çalmalarına izin verdiğini söyledi.

MSBuild, Microsoft tarafından geliştirilen ve kaynak kodunu derlemeye, paketlemeye, test etmeye ve uygulamaları dağıtmaya izin veren açık kaynaklı bir .NET ve Visual Studio oluşturma aracıdır.
Anomali araştırmacıları Tara Gould ve Gage Mele, "Bu kampanyanın arkasındaki tehdit aktörleri, güvenlik önlemlerini atlamanın bir yolu olarak dosyasız teslimatı kullandılar ve bu teknik, aktörler tarafından çeşitli hedefler ve motivasyonlar için kullanılıyor. Bu kampanya, tek başına virüsten koruma yazılımına güvenmenin siber savunma için yetersiz olduğunu ve kötü amaçlı yazılımları virüsten koruma teknolojisinden gizlemek için yasal kod kullanımının etkili olduğunu ve katlanarak arttığını vurguluyor." dedi. 

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Uzmanlar, 58 Android Stalkerware Uygulamasının Kontrolünün Ele Geçirebileği Konusunda Uyardı

TARİH: 18 Mayıs 2021

Çeşitli satıcılara ait 58 Android takip yazılımı uygulamasında, kötü niyetli bir aktörün bir kurbanın cihazının kontrolünü ele geçirmesine, bir takipçinin hesabını ele geçirmesine, verilere müdahale etmesine, uzaktan kod yürütmesine olanak verebilecek toplam 158 gizlilik ve güvenlik sorunu tespit etti.

Slovak siber güvenlik firması ESET tarafından Android platformu için 86 takip yazılımı uygulamasının bir analizinden gelen yeni bulgular, yalnızca etik olmayan bir uygulamanın aynı zamanda mağdurların özel ve mahrem bilgilerini de açığa çıkarabilecek istenmeyen sonuçlarının altını çiziyor. Ayrıca kurbanları siber saldırı ve dolandırıcılık riskiyle karşı karşıya bırakır.

Bugüne kadar yalnızca altı satıcı, uygulamalarında tanımlanan sorunları çözdü. 44 satıcı ifşaları kabul etmemeyi seçerken, diğer yedi firma yaklaşan güncellemedeki kusurları gidermeyi düşündüklerini iddia etti.

Ortaya çıkarılan en yaygın sorunlar arasında şunlar yer almaktadır:

-Dokuz farklı tedarikçinin uygulamaları, Droid-Watcher adlı açık kaynaklı bir Android casus yazılımına dayanıyor ve bir satıcı, izleme uygulaması olarak bir Metasploit yükünü kullanıyor.
-Bazı uygulamalarda, yazılımın kolay çalınmasına izin veren, açık metin olarak kodlanmış lisans anahtarları vardır. ESET tarafından analiz edilen diğer uygulamalar, cihazın güvenliğini kasıtlı olarak zayıflatmak için bildirimleri ve Google Play Protect'i devre dışı bırakır.
-22 uygulama, kullanıcıların kişisel olarak tanımlanabilir bilgilerini gizli yazılım sunucusuna şifrelenmemiş bir bağlantı üzerinden iletir, böylece aynı ağdaki bir rakibin ortadaki adam saldırısı düzenlemesine ve iletilen verileri değiştirmesine izin verir.
-19 uygulama, tuş vuruş kayıtları, fotoğraflar, kayıtlı telefon görüşmeleri ve ses, takvim etkinlikleri, tarayıcı geçmişi, kişi listeleri gibi hassas bilgileri harici medyada depolar. Bu, harici depolamaya erişimi olan herhangi bir üçüncü taraf uygulamasının bu dosyaları ek izin olmadan okumasına izin verebilir.
-17 uygulama, sunucularda depolanan kullanıcı bilgilerini herhangi bir kimlik doğrulaması gerektirmeden yetkisiz kullanıcılara ifşa eder ve saldırgana arama günlüklerine, fotoğraflara, e-posta adreslerine, IP günlüklerine, IMEI numaralarına, telefon numaralarına, Facebook ve WhatsApp mesajlarına ve GPS konumlarına tam erişim sağlar.
-17 uygulama, sunucuları aracılığıyla istemci bilgilerini sızdırıyor, böylece bir kurbanın, cihazın IMEI numarasını kullanarak takipçiyle ilgili bilgileri almasına ve "cihaz kimliklerini kaba kuvvetle zorlama ve tüm takip yazılım istemcilerini boşaltma fırsatı" yaratmasına olanak tanıyor.
-15 uygulama, kurulumun hemen ardından ve hatta takip eden kişi kaydolup bir hesap oluşturmadan önce bir cihazdan yetkisiz verileri sunuculara aktarır.
-13 uygulama, kurban telefonundan yüklenen veriler için yeterli doğrulama korumasına sahip değil, uygulamalar iletişim sırasında cihazı tanımlamak için yalnızca IMEI numaralarına güveniyor.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. FragAttack
  2. Colonial
  3. Microsoft
  4. AndroidStalkerware
  5. Zararlı Yazılımlar
  6. Zafiyetler
  7. Exploitler