EN
EN

2021 33. Hafta Siber Güvenlik Haberleri

20 Ağustos 2021


SİBER GÜVENLİK GÜNDEMİ

33.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

12-08-2021

RATES SYSTEM 1.0- 'Multiple' SQL Injections

WebApps

PHP

13-08-2021

Police Crime Record Management System 1.0- 'Multiple' Stored Cross-Site Scripting (XSS)

WebApps

PHP

16-08-2021

NetGear D1500 V1.0.0.21_1.0.1PE- 'Wireless Repeater' Stored Cross-Site Scripting (XSS)

WebApps

Hardware

17-08-2021

SonicWall NetExtender 10.2.0.300- Unquoted Service Path

Local

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

11-08-2021

CVE-2021-36958

RCE/Microsoft

11-08-2021

Managed DNS Services Cloud

Casusluk/DNS Trafiği

12-08-2021

STARTTLS Kusurları

MitM/E-posta İstemcileri-STARTTLS

16-08-2021

CVE-2021-35392, 93, 94, 95

Rastgele Kod Yürütme/Realtek

17-08-2021

 CVE-2021-22123 

 Remote Hacking/FortiWAF

Ağustos ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

12-08-2021

LockBit

Fidye Yazılımı/ Accenture Firması

12-08-2021

Ficker Stealer

Rus Casus Yazılımı/Spotify Music, YouTube Premium ve diğer Microsoft Store vb.

16-08-2021

AdLoad

Arka Kapı/MacOS

17-08-2021

Cinobi

Bankacılık Truva Atı/Kripto Para Kullanıcıları

Haber Yazısı 1

Hackerlar Poly Network'ten 600 Milyon Dolarlık Kripto Para Birimi Çaldı

TARİH: 11 Ağustos 2021

Hackerlar, dijital varlık endüstrisini hedef alan en büyük soygunlardan biri olduğuna inanılan blok zinciri tabanlı bir finans ağından 611 milyon dolar değerinde kripto para topladı ve son yıllarda Coincheck ve Mt. Gox borsalarını hedef alan ihlallerin önüne geçti.

Bitcoin ve Ethereum gibi birden fazla blok zincirinde belirteçleri takas etmek için Çin merkezli bir zincirler arası merkezi olmayan finans (DeFi) platformu olan Poly Network, kimliği belirsiz aktörlerin Ether gibi binlerce dijital belirteci yağmalamak için sistemindeki bir güvenlik açığından yararlandığını açıkladı.

Poly Network, "Bilgisayar korsanı, sözleşme çağrıları arasındaki bir güvenlik açığından yararlandı" dedi.

Çalınan Binance Chain, Ethereum ve Polygon varlıklarının üç farklı cüzdana aktarıldığı söyleniyor ve şirket, etkilenen blok zinciri ve merkezi kripto borsalarının madencilerini adreslerden gelen blok liste tokenlerine çağırıyor. Üç cüzdan adresi aşağıdaki gibidir:

-Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 (273 milyon dolar)
-Binance Akıllı Zincir: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 (253 milyon dolar)
-Çokgen: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 (85 milyon dolar)

Açık mektupta, protokol sahipleri hırsızları "iletişim kurmaya ve saldırıya uğramış varlıkları iade etmeye" çağırdı .

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Fidye Yazılım Çeteleri, Windows Print Güvenlik Açıklarından Yararlanıyor

TARİH: 13 Ağustos 2021

Magniber ve Vice Society gibi fidye yazılımı operatörleri, kurbanları tehlikeye atmak ve hedeflenen sistemlerde dosya şifreleme yüklerini dağıtmak için kurbanın ağına yanal olarak yayılmak için Windows Yazdırma Biriktiricisi'ndeki güvenlik açıklarından aktif olarak yararlanıyor.

Magniber fidye yazılımı ilk olarak 2017'nin sonlarında kötü amaçlı reklam kampanyaları yoluyla Güney Kore'deki kurbanları seçiyorken, Vice Society 2021 ortalarında fidye yazılımı alanında ortaya çıkan ve öncelikle devlet okulları bölgelerini ve diğer eğitim kurumlarını hedef alıyor. Saldırıların en az 13 Temmuz'dan beri gerçekleştiği söyleniyor.

CrowdStrike, Magniber fidye yazılımı çetesinin PrintNightmare güvenlik açığından yararlanma girişimlerini başarıyla engellediğini kaydetti. Öte yandan Vice Society, kimlik bilgisi hırsızlığı ve ayrıcalık yükseltme için yerel Windows korumalarını atlamadan önce, güvenlik ihlali sonrası keşif yapmak için çeşitli tekniklerden yararlandı. Saldırganın özellikle PrintNightmare kusuruyla (CVE-2021-34527) ilişkili kötü amaçlı bir kitaplığı kullanarak ortamdaki birden çok sisteme geçiş yaptığı ve kurbandan kimlik bilgilerini çıkardığına inanılıyor.

Araştırmacılar, "Sadırganlar, daha etkili, verimli ve kaçamak bir şekilde çalışmak için çabalarken, fidye yazılımı saldırısı yaşam döngüsüne yaklaşımlarını sürekli olarak geliştiriyorlar. PrintNightmare olarak bilinen güvenlik açığının kullanılması, düşmanların çok dikkatli olduklarını ve saldırıları sırasında çeşitli amaçlar için yararlı buldukları yeni araçları hızla dahil edeceklerini gösteriyor." dedi.

Tehdit aktörleri, şirket içi kurulumları etkileyen bir üçlü kusurdan yararlanan yeni bir istismar zinciri kullanarak Exchange sunucularının fırsatçı taramasını ve istismarını aktif olarak gerçekleştiriyor ve bu, yılın başında ProxyLogon güvenlik açıklarından toplu olarak yararlanıldıktan sonra onları en son hatalar haline getiriyor. Uzaktan kod yürütme kusurları topluca "ProxyShell" olarak adlandırıldı. SANS Internet Storm Center'dan Jan Kopriva tarafından gerçekleştirilen bir Shodan taramasına göre, en az 30.000 makine güvenlik açıklarından etkileniyor.

Windows üreticisi, posta sunucusu bileşeninde, ikisi ProxyOracle olarak adlandırılan ve bir saldırganın kullanıcının parolasını düz metin biçiminde kurtarmasını sağlayan altı kusuru daha düzeltti.

ACL denetimlerini atlamak, Exchange PowerShell arka ucunda ayrıcalıkları yükseltmek, saldırganın kimliğini etkin bir şekilde doğrulamak ve uzaktan kod yürütülmesine izin vermek için diğer üç sorun kötüye kullanılabilir. Microsoft, hem CVE-2021-34473 hem de CVE-2021-34523'ün temmuz ayına kadar kazara yayından kaldırıldığını kaydetti.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Yeni Glowworm Saldırısı, LED Güç Göstergesinden Cihazın Sesini Yakalıyor

TARİH: 14 Ağustos 2021

Yeni bir teknik, bağlı çevre birimlerinden gelen sesleri kurtarmak ve 35 metreye kadar mesafeden elektronik konuşmaları gözetlemek için bir cihazın güç göstergesi LED'inden optik yayılımlardan yararlanır.

"Glowworm saldırısı" olarak adlandırılan bulgular, Negev'deki Ben-Gurion Üniversitesi'nden bir grup akademisyen tarafından bu hafta başlarında yayınlandı ve şu şekilde tanımladı: "Çeşitli cihazların güç göstergesi LED'ine yönlendirilen bir elektro-optik sensör aracılığıyla elde edilen optik ölçümleri analiz ederek sesi kurtarmak için kulak misafiri tarafından kullanılabilen optik bir TEMPEST saldırısı."

Bu tür sadırılar, bir cihazın güç göstergesi LED'inin üzerine siyah bir bant yerleştirerek tüketici tarafında karşılanabilse de araştırmacılar, hoparlörler ses ürettiğinde meydana gelen güç tüketimi dalgalanmalarını ortadan kaldırmak için cihaz üreticilerine bir kapasitör veya operasyonel bir amplifikatör entegre etmelerini tavsiye ediyor.

Gerçek dünya senaryosunda tehdit modeli, Zoom, Google Meet ve Microsoft Teams gibi sanal bir toplantı platformunda katılımcılar tarafından oluşturulan konuşmayı hedefler. Bitişik binadaki bir odada bulunan kötü niyetli taraf ile, rakibin hoparlörlerin güç göstergesi LED'inden sesi yakalamasını sağlar.

Araştırmacılar, "Cihazların seri üretilme olasılığı göz önüne alındığında, karşı önlemlerimizin maliyeti önemsiz gibi görünse de saldırıyı önleyecek bir bileşenin eklenmesi üreticiye milyonlarca dolara mal olabilir. Tüketicilerin maliyet odaklı doğası ve üreticilerin kar odaklı doğası göz önüne alındığında, bilinen güvenlik açıkları genellikle maliyetleri düşürmenin bir yolu olarak göz ardı edilir. Bu gerçek, birçok elektrik devresini önümüzdeki yıllarda Glowworm saldırısına karşı savunmasız bırakabilir." dedi.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. KriptoParaHırsızlığı
  2. MicrosoftExchange/Print
  3. GlowwormAttack
  4. Zararlı Yazılımlar
  5. Zafiyetler
  6. Exploitler