EN
EN

2021 21. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

21.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

19-05-2021

Visual Studio Code 1.47.1 - Denial of Service (PoC)

Local

Windows

20-05-2021

Backup Manager Module 3.0.0.99 - 'IScheduleSvc.exe' Unquoted Service Path

Local

Windows

21-05-2021

Microsoft Exchange 2019 - Unauthenticated Email Download (Metasploit)

WebApps

Windows

24-05-2021

WordPress Plugin ReDi Restaurant Reservation 21.0307 - 'Comment' Stored Cross-Site Scripting (XSS)

WebApps

PHP

25-05-2021

WordPress Plugin Cookie Law Bar 1.2.1 - 'clb_bar_msg' Stored Cross-Site Scripting (XSS)

WebApps

PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

19-05-2021

CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 ve CVE-2021-28664

ZeroDay/Android

24-05-2021

CVE-2020-28648, CVE-2020-26558, CVE-2020-26556 

RAT/Nagios

24-05-2021

CVE-2021-30713

Zeroday/Apple

24-05-2021

CVE-2020-26555, CVE-2020-26557, CVE-2020-26559, CVE-2020-26560

Bluetooth

25-05-2021

CVE-2021-22908

Rastgele Kod Yürütme/Pulse Secure VPN

Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

21-05-2021

STRRAT

RAT

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

20-05-2021

23 Android Apps Expose Over 100,000,000 Users' Personal Data

Android

21-05-2021

AIR INDIA

 

21-05-2021

CNA

Ransomware

22-05-2021

FBI Warns Conti Ransomware Hit 16 U.S. Health and Emergency Services

Ransomware

 

Haber Yazısı 1

Mozilla, Firefox Tarayıcısına 'Site İzolasyonu' Güvenlik Özelliği Sunmaya Başladı

TARİH: 19 Mayıs 2021

Mozilla, Firefox tarayıcısı için kullanıcıları kötü amaçlı sitelerden gelen yeni bir yan kanal saldırılarına karşı korumayı amaçlayan yeni bir güvenlik özelliği sunmaya başladı.

"Site İzolasyonu" olarak adlandırılan uygulama, her web sitesini kendi işletim sistemi sürecinde ayrı ayrı yükler ve sonuç olarak, sahte bir web sitesinden gelen güvenilmeyen kodun diğer sitelerde depolanan gizli bilgilere erişmesini engeller.

Mozilla yaptığı açıklamada , "Firefox'un Güvenlik mimarisinin bu temelde yeniden tasarımı, Masaüstü için Firefox'ta yüklenen tüm siteler için işletim sistemi işlem düzeyinde sınırlar oluşturarak mevcut güvenlik mekanizmalarını genişletir. Her siteyi ayrı bir işletim sistemi sürecine ayırmak, kötü niyetli sitelerin başka bir sitenin gizli veya özel verilerini okumasını daha da zorlaştırıyor." dedi .

Mozilla'dan Anny Gakhokidze, "Mevcut güvenlik önlemlerine rağmen, Spectre benzeri saldırılara karşı korunmak için gerekli bellek korumalarını sağlamanın tek yolu, işletim sisteminin işlem ayırma özelliğini kullanarak farklı sitelerden içeriğin izole edilmesiyle birlikte gelen güvenlik garantilerine güvenmektir," dedi .

Firefox Nightly sürümlerini çalıştıran kullanıcılar, "about: tercihler # deneysel" seçeneğine gidip "Fisyon (Site İzolasyonu)" onay kutusunu işaretleyerek özelliği etkinleştirebilirler. Firefox Beta kullananlar bunu "about: config" e gidip "fission.autostart" ı "true" olarak ayarlayarak yapabilirler.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Florida Su Tesislerini Hedeflemek İçin Sulama Deliği Saldırısı Kullanıldı

TARİH: 20 Mayıs 2021

Bu yılın başlarında Oldsmar su tesisi saldırısının ardından yapılan bir araştırma , ABD'nin Florida eyaletindeki bir altyapı yüklenicisinin, web sitesinde sulama deliği saldırısı olarak bilinen kötü amaçlı kod barındırdığını ortaya çıkardı.

Dragos araştırmacısı Kent Backman Salı günü yayınlanan bir yazıda, "Bu kötü amaçlı kod, özellikle Florida'daki su tesislerini hedef alıyor gibi görünüyor ve daha da önemlisi, Oldsmar şehrinden bir tarayıcı tarafından zehirlenme olayının gerçekleştiği gün ziyaret edildi," dedi .

Amerikan endüstriyel siber güvenlik firması, Florida merkezli bir genel yükleniciye ait olan ve su ve atık su arıtma tesisleri inşa etmekle uğraşan sitenin izinsiz girişle hiçbir ilgisi olmadığını söyledi.

Sulama deliği saldırıları, tipik olarak, bir düşmanın, kurbanın sistemine erişim elde etmek ve kötü amaçlı yazılım bulaştırmak amacıyla, o grubun üyelerinin ziyaret ettiği bilinen, dikkatle seçilmiş bir web sitesini tehlikeye atarak belirli bir son kullanıcı grubunu tehlikeye atmasına olanak tanır.

Ancak bu özel durumda, virüslü web sitesi istismar kodu sağlamadı veya ziyaretçilerin sistemlerine erişim sağlamaya çalışmadı. Bunun yerine, enjekte edilen kod, işletim sistemi, CPU, tarayıcı (ve eklentiler), giriş yöntemleri, kamera varlığı, ivme ölçer, mikrofon, saat dilimi, konumlar, video codec bileşenleri ve ekran boyutları dahil olmak üzere web sitesinin ziyaretçileri hakkında çeşitli ayrıntıları toplayan bir tarayıcı numaralandırma ve parmak izi komut dosyası işlevi gördü.

Toplanan bilgiler daha sonra bir Heroku uygulama sitesinde (bdatac.herokuapp [.] Com) barındırılan ve aynı zamanda komut dosyasını depolayan bir veritabanına aktarıldı. Uygulama o zamandan beri kaldırıldı. Dragos, savunmasız bir WordPress eklentisinin komut dosyasını web sitesinin koduna eklemek için kullanılmış olabileceğinden şüpheleniyor.

16 Şubat 2021'de düzeltilmeden önce, 20 Aralık 2020'de başlayan 58 günlük süre zarfında virüslü siteyi en az 1.000 son kullanıcı bilgisayarı ziyaret etti. Backman, "Kötü amaçlı kodla etkileşime girenlerin arasında belediye su hizmetleri müşterilerinin bilgisayarları, eyalet ve yerel hükümet kurumları, çeşitli su endüstrisi ile ilgili özel şirketler ve normal internet botu ve web sitesi tarayıcı trafiği vardı" dedi.

Backman, "Bu tipik bir sulama deliği değil, Herhangi bir kuruluştan doğrudan taviz vermediğine dair orta düzeyde güvenimiz var. Ancak bu, su endüstrisi için bir maruz kalma riskini temsil ediyor ve özellikle Operasyonel Teknoloji (OT) ve Endüstriyel Kontrol Sistemi (ICS) ortamları için güvenilmeyen web sitelerine erişimi kontrol etmenin önemini vurguluyor.”  dedi.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Araştırmacılar, Cryptocurrency Borsalarına Yönelik CryptoCore Saldırılarını Kuzey Kore'ye Bağladı

TARİH: 24 Mayıs 2021

Yeni kanıtlar, Kuzey Kore'ye bağlı devlet destekli bilgisayar korsanlarının son üç yılda kripto para birimi borsalarına yönelik bir dizi saldırının arkasında olduğunu ortaya çıkardı. Saldırıyı Lazarus Group (APT38 veya Hidden Cobra olarak da bilinir) ile ilişkilendiren İsrailli siber güvenlik firması ClearSky'den araştırmacılar, "CryptoCore" adlı kampanyanın İsrail, Japonya, Avrupa ve ABD'deki kripto borsalarını hedeflediğini söyledi milyonlarca dolarlık sanal para biriminin çalınmasıyla sonuçlanıyor.

Bulgular, geçtiğimiz birkaç ay içinde F-Secure, Japon CERT JPCERT / CC ve NTT Security tarafından ayrıntılandırılan bir dizi izole edilmiş ancak benzer raporlardan elde edilen eserlerin bir araya getirilmesinin bir sonucudur.

2009'da sahneye çıktığından beri, Hidden Cobra oyuncuları, işletmelere ve kritik altyapılara karşı casusluk ve siber kripto para birimi soygunları gerçekleştirmek için saldırgan siber yeteneklerini kullandılar. Düşmanın hedeflemesi, öncelikle uluslararası yaptırımları atlatmanın bir yolu olarak finansal kazançla güdülenen Kuzey Kore'nin ekonomik ve jeopolitik çıkarlarıyla uyumludur . Son yıllarda, Lazarus Group, savunma ve havacılık endüstrilerini hedef almak için saldırılarını daha da genişletti .

CryptoMimic, Dangerous Password , CageyChameleon ve Leery Turtle olarak da adlandırılan CryptoCore, öncelikli olarak kripto para birimi cüzdanlarının çalınmasına odaklandığı için diğer Lazarus Group operasyonlarından farklı değildir.

2018'de başladığına inanılan kampanyanın işleyişi, kurbanın şifre yöneticisi hesabını ele geçirmek için bir saldırı yolu olarak hedefli kimlik avından yararlanmayı, cüzdan anahtarlarını yağmalamak ve para birimlerini saldırganın sahip olduğu bir cüzdana aktarmak için kullanmayı içeriyor.

CryptoCore'u ABD, Japonya ve Orta Doğu'da bulunan beş kurbanla ilişkilendiren Haziran 2020'de yayınlanan bir ClearSky raporuna göre grubun tahmini 200 milyon dolar çaldığı söyleniyor . Noktaları birleştirirken yapılan son araştırmalar, operasyonların daha önce belgelendiğinden daha yaygın olduğunu ve aynı zamanda saldırı vektörünün birkaç parçasını eşzamanlı olarak geliştirdiğini gösteriyor.

Dört halka açık açıklamadan uzlaşma göstergelerinin (IoC'ler) karşılaştırılması, yalnızca yeterli davranışsal ve kod düzeyinde örtüşmeler bulmakla kalmadı, aynı zamanda raporların her birinin büyük ölçekli gibi görünen şeyin farklı yönlerine değinme olasılığını da artırdı saldırı. Buna ek olarak ClearSky, CryptoCore kampanyasında kullanılan kötü amaçlı yazılımı diğer Lazarus kampanyalarıyla karşılaştırarak atfı yeniden doğruladığını ve güçlü benzerlikler bulduğunu söyledi. ClearSky araştırmacıları, "Bu grup, dünya çapında sayısız şirket ve kuruluşa yıllarca başarılı bir şekilde saldırdı. Yakın zamana kadar bu grubun İsrail hedeflerine saldırdığı bilinmiyordu." dedi. 

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Mozilla
  2. Florida Water Utilities
  3. CryptoCore
  4. AndroidStalkerware
  5. Zararlı Yazılımlar
  6. Zafiyetler
  7. Exploitler