EN
EN

2021 30. Hafta Siber Güvenlik Haberleri

30 Temmuz 2021


SİBER GÜVENLİK GÜNDEMİ

30.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

21-07-2021

KevinLAB BEMS 1.0- File Path Traversal Information Disclosure (Authenticated)

WebApps

Hardware

23-07-2021

Microsoft SharePoint Server 2019- Remote Code Execution (2)

WebApps

ASPX

26-07-2021

NoteBurner 2.35- Denial Of Service (DoS) (PoC)

WebApps

Windows

27-07-2021

PHP 7.3.15-3- 'PHP_SESSION_UPLOAD_PROGRESS' Session Data Injection

WebApps

PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

21-07-2021

CVE-2021-29238/29240/29241/34569/ 34566/34567/34568  

Çoklu Güvenlik Açıklıkları/CODESYS

22-07-2021

CVE-2019-2729, CVE-2021-2135/2136/23947/ 2394/ 2397 /2382 /2378/2376/2403 

 Sistem Kontrolü Ele Geçirme/ORACLE

27-07-2021

CVE-2021-30807

Zero Day, Bellek Bozulması/Apple, Mac, iPhone ve iPad

27-07-2021

CVE-2021-3539 /31867 /31869 /36800 /36801 /36802/36803/36804/36805

 EspoCRM, Pimcore, Akaunting

27-07-2021

CVE-2021-35208, 35209

XSS, Açık Yönlendirme/Zimbra

Temmuz ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

21-07-2021

XLoader Windows InfoStealer

Veri Hırsızlığı/Apple,Windows

21-07-2021

Malicious NPM

Veri Hırsızlığı/Chrome

22-07-2021

Promethium

Casusluk /Android

23-07-2021

XCSSET

Hassas Veri Hırsızlığı/Chrome, Telegram, macOS

26-07-2021

LemonDuck

Microsoft, Windows, Linux

Haber Yazısı 1

Kaseya REvil Fidye Yazılımından Etkilenen Kullanıcılar İçin Şifre Çözücü Yayınladı

TARİH: 22 Temmuz 2021

Florida merkezli yazılım satıcısı Kaseya'nın yaygın bir tedarik zinciri fidye yazılımı saldırısına uğramasından yaklaşık üç hafta sonra, şirket perşembe günü, sistemlerin kilidini açmak ve müşterilerin verilerini kurtarmasına yardımcı olmak için evrensel bir şifre çözücü elde ettiğini söyledi.

Bilgi teknolojisi firması o zamandan beri Kaseya VSA şirket içi sunucularına erişim sağlamak için kullanılan sıfır günler için yamalar yayınladı , bu dayanağı VSA yazılımı aracılığıyla yönetilen diğer makinelere dönmek ve REvil fidye yazılımının bir sürümünü dağıtmak için kullandı.

Yazılım tedarik zincirindeki bir ihlal yoluyla gerçekleştirilen saldırının sonuçları, tehdit aktörlerinin kötü amaçlı yazılım yüklemek için üçüncü taraf yazılımlarla ilişkili güveni nasıl giderek daha fazla kötüye kullandığına dair yeni endişeleri gündeme getirdi ve fidye yazılımı saldırılarının neden olduğu hızlı hasarın altını çizdi.

Pazartesi günü paylaşılan yeni bir açıklamada Kaseya, şifre çözme aracını elde etmek için bir fidye ödediği iddialarını yalanladı ve "her şirket fidyeyi ödeyip ödememe konusunda kendi kararını vermek zorundayken, Kaseya uzmanlara danıştıktan sonra karar verdi. Bu saldırıyı gerçekleştiren suçlularla pazarlık yapmayacağız ve bu taahhüdümüzden vazgeçmedik." Dedi.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Yeni PetitPotam NTLM Relay Saldırısı Siber Saldırganların Windows Etki Alanlarını Ele Geçirmesine Neden Olabilir

TARİH: 15 Temmuz 2021

Windows işletim sisteminde yeni keşfedilen bir güvenlik açığı, Etki Alanı Denetleyicileri de dahil olmak üzere uzak Windows sunucularını kötü niyetli bir hedefle kimlik doğrulaması yapmaya zorlamak için kullanılabilir, böylece bir saldırganın bir NTLM geçiş saldırısı gerçekleştirmesine ve bir Windows alanını tamamen ele geçirmesine olanak tanır.

PetitPotam " olarak adlandırılan sorun, geçen hafta teknik ayrıntıları ve kavram kanıtı (PoC) kodunu paylaşan güvenlik araştırmacısı Gilles Lionel tarafından keşfedildi ve kusurun "Windows ana bilgisayarlarını MS aracılığıyla diğer makinelerde kimlik doğrulaması yapmaya zorlayarak çalıştığını" belirtti.

MS-EFSRPC , Microsoft'un "uzaktan depolanan ve bir ağ üzerinden erişilen şifreli veriler üzerinde bakım ve yönetim işlemlerini" gerçekleştirmek için kullanılan Şifreleme Dosya Sistemi Uzak Protokolüdür.

Microsoft, "NTLM'nin etkin olduğu ağlarda NTLM Geçiş Saldırılarını önlemek için, etki alanı yöneticileri, NTLM kimlik doğrulamasına izin veren hizmetlerin Kimlik Doğrulama için Genişletilmiş Koruma (EPA) gibi korumaları veya SMB imzalama gibi imzalama özelliklerini kullanmasını sağlamalıdır," dedi.

Bu saldırı hattına karşı korunmak için Windows üreticisi, müşterilerin etki alanı denetleyicisinde NTLM kimlik doğrulamasını devre dışı bırakmasını önermektedir. Uyumluluk nedeniyle NTLM'nin kapatılamaması durumunda şirket, kullanıcıları aşağıdaki iki adımdan birini gerçekleştirmeye çağırıyor:

- Grup ilkesini kullanarak etki alanınızdaki herhangi bir AD CS Sunucusunda NTLM'yi devre dışı bırakın Ağ güvenliği: NTLM'yi kısıtlayın: Gelen NTLM trafiği.
- "Sertifika Yetkilisi Web Kaydı" veya "Sertifika Kaydı Web Hizmeti" hizmetlerini çalıştıran etki alanındaki AD CS Sunucularında İnternet Bilgi Hizmetleri (IIS) için NTLM'yi devre dışı bırakın.

PetitPotam, PrintNightmare ve CiddiSAM (diğer adıyla HiveNightmare) güvenlik açıklarından sonra geçen ay içinde açıklanan üçüncü büyük Windows güvenlik sorununa işaret ediyor.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Kaseya
  2. PetitPotam
  3. Zararlı Yazılımlar
  4. Zafiyetler
  5. Exploitler