2021 30. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

30.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
21-07-2021	KevinLAB BEMS 1.0- File Path Traversal Information Disclosure (Authenticated)	WebApps	Hardware
23-07-2021	Microsoft SharePoint Server 2019- Remote Code Execution (2)	WebApps	ASPX
26-07-2021	NoteBurner 2.35- Denial Of Service (DoS) (PoC)	WebApps	Windows
27-07-2021	PHP 7.3.15-3- 'PHP_SESSION_UPLOAD_PROGRESS' Session Data Injection	WebApps	PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Zafiyet Tür/Platform
21-07-2021	CVE-2021-29238/29240/29241/34569/ 34566/34567/34568	Çoklu Güvenlik Açıklıkları/CODESYS
22-07-2021	CVE-2019-2729, CVE-2021-2135/2136/23947/ 2394/ 2397 /2382 /2378/2376/2403	Sistem Kontrolü Ele Geçirme/ORACLE
27-07-2021	CVE-2021-30807	Zero Day, Bellek Bozulması/Apple, Mac, iPhone ve iPad
27-07-2021	CVE-2021-3539 /31867 /31869 /36800 /36801 /36802/36803/36804/36805	EspoCRM, Pimcore, Akaunting
27-07-2021	CVE-2021-35208, 35209	XSS, Açık Yönlendirme/Zimbra

Temmuz ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Zararlı Yazılım Tür/Platform
21-07-2021	XLoader Windows InfoStealer	Veri Hırsızlığı/Apple,Windows
21-07-2021	Malicious NPM	Veri Hırsızlığı/Chrome
22-07-2021	Promethium	Casusluk /Android
23-07-2021	XCSSET	Hassas Veri Hırsızlığı/Chrome, Telegram, macOS
26-07-2021	LemonDuck	Microsoft, Windows, Linux

Haber Yazısı 1

Kaseya REvil Fidye Yazılımından Etkilenen Kullanıcılar İçin Şifre Çözücü Yayınladı

TARİH: 22 Temmuz 2021

Florida merkezli yazılım satıcısı Kaseya'nın yaygın bir tedarik zinciri fidye yazılımı saldırısına uğramasından yaklaşık üç hafta sonra, şirket perşembe günü, sistemlerin kilidini açmak ve müşterilerin verilerini kurtarmasına yardımcı olmak için evrensel bir şifre çözücü elde ettiğini söyledi.

Bilgi teknolojisi firması o zamandan beri Kaseya VSA şirket içi sunucularına erişim sağlamak için kullanılan sıfır günler için yamalar yayınladı , bu dayanağı VSA yazılımı aracılığıyla yönetilen diğer makinelere dönmek ve REvil fidye yazılımının bir sürümünü dağıtmak için kullandı.

Yazılım tedarik zincirindeki bir ihlal yoluyla gerçekleştirilen saldırının sonuçları, tehdit aktörlerinin kötü amaçlı yazılım yüklemek için üçüncü taraf yazılımlarla ilişkili güveni nasıl giderek daha fazla kötüye kullandığına dair yeni endişeleri gündeme getirdi ve fidye yazılımı saldırılarının neden olduğu hızlı hasarın altını çizdi.

Pazartesi günü paylaşılan yeni bir açıklamada Kaseya, şifre çözme aracını elde etmek için bir fidye ödediği iddialarını yalanladı ve "her şirket fidyeyi ödeyip ödememe konusunda kendi kararını vermek zorundayken, Kaseya uzmanlara danıştıktan sonra karar verdi. Bu saldırıyı gerçekleştiren suçlularla pazarlık yapmayacağız ve bu taahhüdümüzden vazgeçmedik." Dedi.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Yeni PetitPotam NTLM Relay Saldırısı Siber Saldırganların Windows Etki Alanlarını Ele Geçirmesine Neden Olabilir

TARİH: 15 Temmuz 2021

Windows işletim sisteminde yeni keşfedilen bir güvenlik açığı, Etki Alanı Denetleyicileri de dahil olmak üzere uzak Windows sunucularını kötü niyetli bir hedefle kimlik doğrulaması yapmaya zorlamak için kullanılabilir, böylece bir saldırganın bir NTLM geçiş saldırısı gerçekleştirmesine ve bir Windows alanını tamamen ele geçirmesine olanak tanır.

" PetitPotam " olarak adlandırılan sorun, geçen hafta teknik ayrıntıları ve kavram kanıtı (PoC) kodunu paylaşan güvenlik araştırmacısı Gilles Lionel tarafından keşfedildi ve kusurun "Windows ana bilgisayarlarını MS aracılığıyla diğer makinelerde kimlik doğrulaması yapmaya zorlayarak çalıştığını" belirtti.

MS-EFSRPC , Microsoft'un "uzaktan depolanan ve bir ağ üzerinden erişilen şifreli veriler üzerinde bakım ve yönetim işlemlerini" gerçekleştirmek için kullanılan Şifreleme Dosya Sistemi Uzak Protokolüdür.

Microsoft, "NTLM'nin etkin olduğu ağlarda NTLM Geçiş Saldırılarını önlemek için, etki alanı yöneticileri, NTLM kimlik doğrulamasına izin veren hizmetlerin Kimlik Doğrulama için Genişletilmiş Koruma (EPA) gibi korumaları veya SMB imzalama gibi imzalama özelliklerini kullanmasını sağlamalıdır," dedi.

Bu saldırı hattına karşı korunmak için Windows üreticisi, müşterilerin etki alanı denetleyicisinde NTLM kimlik doğrulamasını devre dışı bırakmasını önermektedir. Uyumluluk nedeniyle NTLM'nin kapatılamaması durumunda şirket, kullanıcıları aşağıdaki iki adımdan birini gerçekleştirmeye çağırıyor:

- Grup ilkesini kullanarak etki alanınızdaki herhangi bir AD CS Sunucusunda NTLM'yi devre dışı bırakın Ağ güvenliği: NTLM'yi kısıtlayın: Gelen NTLM trafiği.
- "Sertifika Yetkilisi Web Kaydı" veya "Sertifika Kaydı Web Hizmeti" hizmetlerini çalıştıran etki alanındaki AD CS Sunucularında İnternet Bilgi Hizmetleri (IIS) için NTLM'yi devre dışı bırakın.

PetitPotam, PrintNightmare ve CiddiSAM (diğer adıyla HiveNightmare) güvenlik açıklarından sonra geçen ay içinde açıklanan üçüncü büyük Windows güvenlik sorununa işaret ediyor.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.