2021 21. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
21.Hafta Siber Güvenlik Haberleri
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
19-05-2021 |
Local |
Windows |
|
20-05-2021 |
Backup Manager Module 3.0.0.99 - 'IScheduleSvc.exe' Unquoted Service Path |
Local |
Windows |
21-05-2021 |
Microsoft Exchange 2019 - Unauthenticated Email Download (Metasploit) |
WebApps |
Windows |
24-05-2021 |
WordPress Plugin ReDi Restaurant Reservation 21.0307 - 'Comment' Stored Cross-Site Scripting (XSS) |
WebApps |
PHP |
25-05-2021 |
WordPress Plugin Cookie Law Bar 1.2.1 - 'clb_bar_msg' Stored Cross-Site Scripting (XSS) |
WebApps |
PHP |
Güncel tüm exploitlere buradan ulaşabilirsiniz.
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Zafiyet Tür/Platform |
19-05-2021 |
CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 ve CVE-2021-28664 |
ZeroDay/Android |
24-05-2021 |
RAT/Nagios |
|
24-05-2021 |
Zeroday/Apple |
|
24-05-2021 |
CVE-2020-26555, CVE-2020-26557, CVE-2020-26559, CVE-2020-26560 |
Bluetooth |
25-05-2021 |
Rastgele Kod Yürütme/Pulse Secure VPN |
Mayıs ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Zararlı Yazılım Tür/Platform |
21-05-2021 |
RAT |
Haftanın Veri İhlalleri
Tarih |
Veri İhlali Başlığı |
Veri İhlali Tür/Platform |
20-05-2021 |
23 Android Apps Expose Over 100,000,000 Users' Personal Data |
Android |
21-05-2021 |
|
|
21-05-2021 |
Ransomware |
|
22-05-2021 |
FBI Warns Conti Ransomware Hit 16 U.S. Health and Emergency Services |
Ransomware |
Haber Yazısı 1
Mozilla, Firefox Tarayıcısına 'Site İzolasyonu' Güvenlik Özelliği Sunmaya Başladı
TARİH: 19 Mayıs 2021
Mozilla, Firefox tarayıcısı için kullanıcıları kötü amaçlı sitelerden gelen yeni bir yan kanal saldırılarına karşı korumayı amaçlayan yeni bir güvenlik özelliği sunmaya başladı.
"Site İzolasyonu" olarak adlandırılan uygulama, her web sitesini kendi işletim sistemi sürecinde ayrı ayrı yükler ve sonuç olarak, sahte bir web sitesinden gelen güvenilmeyen kodun diğer sitelerde depolanan gizli bilgilere erişmesini engeller.
Mozilla yaptığı açıklamada , "Firefox'un Güvenlik mimarisinin bu temelde yeniden tasarımı, Masaüstü için Firefox'ta yüklenen tüm siteler için işletim sistemi işlem düzeyinde sınırlar oluşturarak mevcut güvenlik mekanizmalarını genişletir. Her siteyi ayrı bir işletim sistemi sürecine ayırmak, kötü niyetli sitelerin başka bir sitenin gizli veya özel verilerini okumasını daha da zorlaştırıyor." dedi .
Mozilla'dan Anny Gakhokidze, "Mevcut güvenlik önlemlerine rağmen, Spectre benzeri saldırılara karşı korunmak için gerekli bellek korumalarını sağlamanın tek yolu, işletim sisteminin işlem ayırma özelliğini kullanarak farklı sitelerden içeriğin izole edilmesiyle birlikte gelen güvenlik garantilerine güvenmektir," dedi .
Firefox Nightly sürümlerini çalıştıran kullanıcılar, "about: tercihler # deneysel" seçeneğine gidip "Fisyon (Site İzolasyonu)" onay kutusunu işaretleyerek özelliği etkinleştirebilirler. Firefox Beta kullananlar bunu "about: config" e gidip "fission.autostart" ı "true" olarak ayarlayarak yapabilirler.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Florida Su Tesislerini Hedeflemek İçin Sulama Deliği Saldırısı Kullanıldı
TARİH: 20 Mayıs 2021
Bu yılın başlarında Oldsmar su tesisi saldırısının ardından yapılan bir araştırma , ABD'nin Florida eyaletindeki bir altyapı yüklenicisinin, web sitesinde sulama deliği saldırısı olarak bilinen kötü amaçlı kod barındırdığını ortaya çıkardı.
Dragos araştırmacısı Kent Backman Salı günü yayınlanan bir yazıda, "Bu kötü amaçlı kod, özellikle Florida'daki su tesislerini hedef alıyor gibi görünüyor ve daha da önemlisi, Oldsmar şehrinden bir tarayıcı tarafından zehirlenme olayının gerçekleştiği gün ziyaret edildi," dedi .
Amerikan endüstriyel siber güvenlik firması, Florida merkezli bir genel yükleniciye ait olan ve su ve atık su arıtma tesisleri inşa etmekle uğraşan sitenin izinsiz girişle hiçbir ilgisi olmadığını söyledi.
Sulama deliği saldırıları, tipik olarak, bir düşmanın, kurbanın sistemine erişim elde etmek ve kötü amaçlı yazılım bulaştırmak amacıyla, o grubun üyelerinin ziyaret ettiği bilinen, dikkatle seçilmiş bir web sitesini tehlikeye atarak belirli bir son kullanıcı grubunu tehlikeye atmasına olanak tanır.
Ancak bu özel durumda, virüslü web sitesi istismar kodu sağlamadı veya ziyaretçilerin sistemlerine erişim sağlamaya çalışmadı. Bunun yerine, enjekte edilen kod, işletim sistemi, CPU, tarayıcı (ve eklentiler), giriş yöntemleri, kamera varlığı, ivme ölçer, mikrofon, saat dilimi, konumlar, video codec bileşenleri ve ekran boyutları dahil olmak üzere web sitesinin ziyaretçileri hakkında çeşitli ayrıntıları toplayan bir tarayıcı numaralandırma ve parmak izi komut dosyası işlevi gördü.
Toplanan bilgiler daha sonra bir Heroku uygulama sitesinde (bdatac.herokuapp [.] Com) barındırılan ve aynı zamanda komut dosyasını depolayan bir veritabanına aktarıldı. Uygulama o zamandan beri kaldırıldı. Dragos, savunmasız bir WordPress eklentisinin komut dosyasını web sitesinin koduna eklemek için kullanılmış olabileceğinden şüpheleniyor.
16 Şubat 2021'de düzeltilmeden önce, 20 Aralık 2020'de başlayan 58 günlük süre zarfında virüslü siteyi en az 1.000 son kullanıcı bilgisayarı ziyaret etti. Backman, "Kötü amaçlı kodla etkileşime girenlerin arasında belediye su hizmetleri müşterilerinin bilgisayarları, eyalet ve yerel hükümet kurumları, çeşitli su endüstrisi ile ilgili özel şirketler ve normal internet botu ve web sitesi tarayıcı trafiği vardı" dedi.
Backman, "Bu tipik bir sulama deliği değil, Herhangi bir kuruluştan doğrudan taviz vermediğine dair orta düzeyde güvenimiz var. Ancak bu, su endüstrisi için bir maruz kalma riskini temsil ediyor ve özellikle Operasyonel Teknoloji (OT) ve Endüstriyel Kontrol Sistemi (ICS) ortamları için güvenilmeyen web sitelerine erişimi kontrol etmenin önemini vurguluyor.” dedi.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 3
Araştırmacılar, Cryptocurrency Borsalarına Yönelik CryptoCore Saldırılarını Kuzey Kore'ye Bağladı
TARİH: 24 Mayıs 2021
Yeni kanıtlar, Kuzey Kore'ye bağlı devlet destekli bilgisayar korsanlarının son üç yılda kripto para birimi borsalarına yönelik bir dizi saldırının arkasında olduğunu ortaya çıkardı. Saldırıyı Lazarus Group (APT38 veya Hidden Cobra olarak da bilinir) ile ilişkilendiren İsrailli siber güvenlik firması ClearSky'den araştırmacılar, "CryptoCore" adlı kampanyanın İsrail, Japonya, Avrupa ve ABD'deki kripto borsalarını hedeflediğini söyledi milyonlarca dolarlık sanal para biriminin çalınmasıyla sonuçlanıyor.
Bulgular, geçtiğimiz birkaç ay içinde F-Secure, Japon CERT JPCERT / CC ve NTT Security tarafından ayrıntılandırılan bir dizi izole edilmiş ancak benzer raporlardan elde edilen eserlerin bir araya getirilmesinin bir sonucudur.
2009'da sahneye çıktığından beri, Hidden Cobra oyuncuları, işletmelere ve kritik altyapılara karşı casusluk ve siber kripto para birimi soygunları gerçekleştirmek için saldırgan siber yeteneklerini kullandılar. Düşmanın hedeflemesi, öncelikle uluslararası yaptırımları atlatmanın bir yolu olarak finansal kazançla güdülenen Kuzey Kore'nin ekonomik ve jeopolitik çıkarlarıyla uyumludur . Son yıllarda, Lazarus Group, savunma ve havacılık endüstrilerini hedef almak için saldırılarını daha da genişletti .
CryptoMimic, Dangerous Password , CageyChameleon ve Leery Turtle olarak da adlandırılan CryptoCore, öncelikli olarak kripto para birimi cüzdanlarının çalınmasına odaklandığı için diğer Lazarus Group operasyonlarından farklı değildir.
2018'de başladığına inanılan kampanyanın işleyişi, kurbanın şifre yöneticisi hesabını ele geçirmek için bir saldırı yolu olarak hedefli kimlik avından yararlanmayı, cüzdan anahtarlarını yağmalamak ve para birimlerini saldırganın sahip olduğu bir cüzdana aktarmak için kullanmayı içeriyor.
CryptoCore'u ABD, Japonya ve Orta Doğu'da bulunan beş kurbanla ilişkilendiren Haziran 2020'de yayınlanan bir ClearSky raporuna göre grubun tahmini 200 milyon dolar çaldığı söyleniyor . Noktaları birleştirirken yapılan son araştırmalar, operasyonların daha önce belgelendiğinden daha yaygın olduğunu ve aynı zamanda saldırı vektörünün birkaç parçasını eşzamanlı olarak geliştirdiğini gösteriyor.
Dört halka açık açıklamadan uzlaşma göstergelerinin (IoC'ler) karşılaştırılması, yalnızca yeterli davranışsal ve kod düzeyinde örtüşmeler bulmakla kalmadı, aynı zamanda raporların her birinin büyük ölçekli gibi görünen şeyin farklı yönlerine değinme olasılığını da artırdı saldırı. Buna ek olarak ClearSky, CryptoCore kampanyasında kullanılan kötü amaçlı yazılımı diğer Lazarus kampanyalarıyla karşılaştırarak atfı yeniden doğruladığını ve güçlü benzerlikler bulduğunu söyledi. ClearSky araştırmacıları, "Bu grup, dünya çapında sayısız şirket ve kuruluşa yıllarca başarılı bir şekilde saldırdı. Yakın zamana kadar bu grubun İsrail hedeflerine saldırdığı bilinmiyordu." dedi.
[3] Haber ayrıntılarına buradan ulaşabilirsiniz.
Kaynakça
- Mozilla
- Florida Water Utilities
- CryptoCore
- AndroidStalkerware
- Zararlı Yazılımlar
- Zafiyetler
- Exploitler