EN
EN

2021 31. Hafta Siber Güvenlik Haberleri

06 Ağustos 2021


SİBER GÜVENLİK GÜNDEMİ

31.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

28-07-2021

TripSpark VEO Transportation- Blind SQL Injection

WebApps

Windows

29-07-2021

Oracle Fatwire 6.3- Multiple Vulnerabilities

WebApps

Multiple

02-08-2021

Panasonic Sanyo CCTV Network Camera 2.03-0x- 'Disable Authentication / Change Password' CSRF

WebApps

Hardware

03-08-2021

Hotel Management System 1.0- Cross-Site Scripting (XSS) Arbitrary File Upload Remote Code Execution (RCE)

WebApps

PHP

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Zafiyet Tür/Platform

02-08-2021

CVE-2021-27852 

RCE/Checkbox Anket

02-08-2021

CVE-2021-37161, 62, 63, 64, 65, 66, 67, 60

PTS/PwnedPiper

03-08-2021

CVE-2021-30561

Yığın Bozulmasına/Chrome

Ağustos ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Zararlı Yazılım Tür/Platform

28-07-2021

Oscorp

Kimlik Bilgisi Hırsızlığı/Android

29-07-2021

Vultur

Truva Atı/Android

29-07-2021

VBA Zararlı Yazılımı

RAT (Remote Access Trojan) /Windows

30-07-2021

Meteor

Wiper/İran Tren Sisteminde Görüldü

30-07-2021

WellMess

Casusluk Kampanyası

02-08-2021

Solarmarker

 Veri Hırsızlığı /.NET

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

29-07-2021

BazaCall

Sahte Çağrı Merkezleri

03-08-2021

Timurlar Sigorta Aracılık Hizmetleri Ltd. Şti.

Fidye Yazılımı/Uygulama Yazılımı Tabanlı

03-08-2021

Motor Trend Group LLC

Bulut ve Depolama Alanına Yetkisiz Erişim

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Çinli Hackerlar, Tehlike Altındaki MS Exchange Sunucularına PlugX Varyantını Yerleştiriyor

TARİH: 28 Temmuz 2021

Güneydoğu Asya'yı hedef aldığı bilinen Çinli bir siber casusluk grubu, güvenliği ihlal edilmiş sistemlerde daha önce belgelenmemiş bir uzaktan erişim trojan (RAT) türevi dağıtmak için Microsoft Exchange Server'daki mart başlarında ortaya çıkan kusurlardan yararlandı.

Palo Alto Networks'ün Unit 42 tehdit istihbarat ekibi , izinsiz girişleri PKPLUG (diğer adıyla Mustang Panda ve HoneyMyte) adlı bir tehdit aktörüne bağlayarak , modüler PlugX kötü amaçlı yazılımın Thor adlı ve bir sömürü sonrası araç olarak teslim edilen yeni bir sürümünü belirlediğini söyledi.

2008 yılına kadar uzanan PlugX , dosya yükleme, indirme ve değiştirme, tuş vuruşu günlüğü, web kamerası kontrolü ve uzak komut kabuğuna erişim gibi yeteneklere sahip tam özellikli bir ikinci aşamalı implanttır.

Araştırmacılar, PlugX'in en son örneğinin, saldırganlara hedeflerini yerine getirmek için güvenliği ihlal edilmiş sistemi izleme, güncelleme ve etkileşim kurma konusunda çeşitli yetenekler sağlayan çeşitli eklentilerle donatılmış olarak geldiğini söyledi. THOR'un PKPLUG ile bağlantıları, komuta ve kontrol altyapısını bir araya getirmenin yanı sıra, yakın zamanda keşfedilen diğer PlugX yapıları arasında tespit edilen kötü niyetli davranışlardaki çakışmalardan kaynaklanmaktadır.

Saldırıyla ilişkili ek güvenlik ihlali göstergelerine buradan erişilebilir. Unit 42 ayrıca, ilişkili PlugX yükleyicilere sahip olmadan şifreli PlugX yüklerinin şifresini çözebilen ve paketini açabilen bir Python betiği de kullanıma sunmuştur.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

PyPI Deposunda Birkaç Kötü Amaçlı Python Paketi Bulundu

TARİH: 30 Temmuz 2021

30.000'den fazla kez indirilen sekiz kadar Python paketi, kötü amaçlı kod içerdiği için PyPI portalından kaldırıldı ve yazılım paketi havuzlarının tedarik zinciri saldırıları için nasıl popüler bir hedef haline geldiğini bir kez daha vurguladı.

JFrog araştırmacıları Andrey Polkovnichenko, Omer Kaspi ve Shachar Menashe geçtiğimiz perşembe günü ‘Kamuya açık yazılım havuzlarında denetleme ve otomatik güvenlik denetimlerinin olmaması, deneyimsiz saldırganların bile yazım hatası, bağımlılık karışıklığı veya basit sosyal mühendislik saldırıları yoluyla kötü amaçlı yazılımları yaymak için bir platform olarak kullanmasına olanak tanır.’ dedi.

Python Paket İndeksi'nin kısaltması olan PyPI, paketler ve bağımlılıkları için varsayılan kaynak olarak ona dayanan pip gibi paket yöneticisi yardımcı programlarıyla Python için resmi üçüncü taraf yazılım deposudur.

Base64 kodlaması kullanılarak karartıldığı tespit edilen söz konusu Python paketleri aşağıda listelenmiştir:

- pytagora (leonora123 tarafından yüklendi)
- pytagora2 (leonora123 tarafından yüklendi)
- soylular (xin1111 tarafından yüklendi)
- genesisbot (xin1111 tarafından yüklendi)
- (xin1111 tarafından yüklendi)
- acı çekmek (acı tarafından yüklendi)
- soylular2 (acı tarafından yüklendi)
- soylularsev2 (acı tarafından yüklendi)

JFrog CTO'su Asaf Karas, "PyPI gibi popüler depolarda kötü amaçlı yazılım paketlerinin sürekli keşfedilmesi, yaygın tedarik zinciri saldırılarına yol açabilecek endişe verici bir eğilimdir. Saldırganların kötü amaçlı yazılımları tanıtmak için basit gizleme tekniklerini kullanma yeteneği, geliştiricilerin endişeli ve uyanık olması gerektiği anlamına gelir. Bu, sistemik bir tehdittir ve hem yazılım havuzlarının sahipleri hem de geliştiriciler tarafından birkaç katmanda aktif olarak ele alınması gerekir. Geliştiriciler tarafında, kitaplık imzalarının doğrulanması ve projede yer alan şüpheli kod ipuçlarını tarayan otomatik uygulama güvenlik araçlarının kullanılması gibi önleyici tedbirler, herhangi bir CI/CD ardışık düzeninin ayrılmaz bir parçası olmalıdır. Bunlar kötü niyetli kod paradigmaları kullanıldığında uyarı verebilir" dedi.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. PlugX
  2. PyPI
  3. Zararlı Yazılımlar
  4. Zafiyetler
  5. Exploitler