2021 50. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

50.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
9-12-2021	Raspberry Pi 5.10- Default Credentials	Local	Windows
10-12-2021	OpenCATS 0.9.4- Remote Code Execution (RCE)	WebApps	PHP
13-12-2021	HD-Network Real-time Monitoring System 2.0- Local File Inclusion (LFI)	Remote	Linux
14-12-2021	! Apache Log4j2 2.14.1- Information Disclosure	Remote	Java

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür/Platform
8-12-2021	! CVE-2021-20038,-, CVE-2021-20045	SonicWall
9-12-2021	CVE-2018-14847	Mikrotik
10-12-2021	!!! CVE-2021-44228	Log4J
13-12-2021	!!! CVE-2021-4102	Sıfırıncı gün /Google chrome
13-12-2021	CVE-2021-30955	Apple iOS

Aralık ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür/Platform
8-12-2021	TrickBot-Emotet	Botnet
10-12-2021	BlackCat	Fidye yazılımı
13-12-2021	Qakbot	Bankacılık Truva Atı
14-12-2021	Khonsari	Fidye yazılımı -Log4j güvenlik açığını kullanılarak-

Haber Yazısı 1

Birçok Kötü Amaçlı NPM Paketi, Discord Sunucularını Ele Geçirirken Yakalandı

TARİH: 8 Aralık 2021

NPM Registry paketinde, PyPi ve RubyGems gibi açık kaynaklı yazılım havuzları aracılığıyla barındırılan ve sunulan son zamanlardaki kötü amaçlı yazılımların ek olarak, en az 17 kötü amaçlı yazılım yüklü paket keşfedildi.

DevOps firması JFrog, artık kapatılan kitaplıkların, kullanıcıların bilgisayarlarından Discord erişim tokenlarını ve ortam değişkenlerini almak ve bir kurbanın sistemi üzerinde tam kontrol sağlamak için tasarlandığını söyledi.

Paketlerin listesi aşağıda ki gibidir:

-prerequests-xcode (version 1.0.4)
-discord-selfbot-v14 (version 12.0.3)
-discord-lofy (version 11.5.1)
-discordsystem (version 11.5.1)
-discord-vilao (version 1.0.0)
-fix-error (version 1.0.0)
-wafer-bind (version 1.1.2)
-wafer-autocomplete (version 1.25.0)
-wafer-beacon (version 1.3.3)
-wafer-caas (version 1.14.20)
-wafer-toggle (version 1.15.4)
-wafer-geolocation (version 1.2.10)
-wafer-image (version 1.2.2)
-wafer-form (version 1.30.1)
-wafer-lightbox (version 1.5.4)
-octavius-public (version 1.836.609)
-mrg-message-broker (version 9998.987.376)

Bu açıklamaların ışığında, Discord erişim tokenlarının çalınmasının, tehdit aktörlerinin platformu gizli bir veri sızdırma kanalı olarak kullanmasına, diğer Discord kullanıcılarına kötü amaçlı yazılım dağıtmasına ve hatta Discord Nitro premium hesaplarını, daha sonra bunları kendi kampanyaları için kullanabilecek diğer üçüncü taraflara satmasına olanak sağlar.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

1.6 Milyon WordPress Sitesi 16.000'den Fazla IP Adresinden Siber Saldırı Altında

TARİH: 10 Aralık 2021

1,6 milyona kadar WordPress sitesi, dört eklenti ve 15 Epsilon Framework temasındaki zayıflıklardan yararlanarak 16.000 IP adresinden kaynaklanan aktif bir büyük ölçekli saldırı kampanyasıyla hedef alındı.

Saldırıların ayrıntılarını açıklayan WordPress güvenlik şirketi Wordfence, perşembe günü yaptığı açıklamada, web sitelerini ele geçirmek ve kötü niyetli eylemler gerçekleştirmek amacıyla eklentilere ve temalara yönelik 13,7 milyondan fazla saldırıyı 36 saat içinde tespit edip engellediğini söyledi.

Söz konusu eklentiler, Kiwi Social Share (<= 2.0.10), WordPress Automatic (<= 3.53.2), Pinterest Automatic (<= 4.14.3) ve PublishPress Capabilities (<= 2.3), bazıları Kasım 2018'e kadar uzanan bir şekilde yamalandı. Etkilenen Epsilon Framework temaları ve bunlara karşılık gelen sürümleri aşağıdaki gibidir

-Activello (<=1.4.1)
-Affluent (<1.1.0)
-Allegiant (<=1.2.5)
-Antreas (<=1.0.6)
-Bonkers (<=1.0.5)
-Brilliance (<=1.2.9)
-Illdy (<=2.1.6)
-MedZone Lite (<=1.2.5)
-NatureMag Lite (bilinen bir yama mevcut değil)
-NewsMag (<=2.4.1)
-Newspaper X (<=1.3.1)
-Pixova Lite (<=2.0.6)
-Regina Lite (<=2.0.5)
-Shapely (<=1.2.8)
-Transcend (<=1.1.9)

Aktif istismar ışığında, yukarıda belirtilen eklentilerden veya temalardan herhangi birini çalıştıran WordPress site sahiplerinin tehdidi azaltmak için en son düzeltmeleri uygulamaları önerilir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Apache Log4j Güvenlik Açığı (Log4Shell) Yaygın Olarak Etkin Saldırı Altında

TARİH: 12 Aralık 2021

Siber saldırganlar, kripto para madencileri olan Cobalt Strike'ı kurmak ve cihazları bir botnet'e almak için Log4j'de yeni tanımlanan "Log4Shell" güvenlik açığından etkilenen yama uygulanmamış sunucuları aktif olarak kullanmakta.

En son gelişme, güvenlik açığının 10 Aralık'ta kamuya açıklanmasından en az bir hafta önce saldırı altında olduğu ve Auvik , ConnectWise Manage ve N-able gibi şirketlerin hizmetlerinin etkilendiğini doğruladığı ortaya çıktı.

İzlenen CVE-2021-44228 (CVSS puanı: 10.0) olan kusur, yazılım uygulamaları tarafından oluşturulan olayları ve mesajları kaydetmek için kurumsal ortamlarda yaygın olarak kullanılan Java tabanlı bir açık kaynaklı Apache log kaydı çerçevesi olan Log4j'de uzaktan kod yürütme durumuyla ilgilidir.

Bir saldırganın güvenlik açığından yararlanması için gereken tek şey, Log4j sürüm 2.0 veya daha yüksek bir sürüm tarafından günlüğe kaydedilen kötü amaçlı kodu içeren özel olarak hazırlanmış bir dize göndermektir. Bu, tehdit aktörünün etkin bir şekilde saldırgan tarafından kontrol edilen bir etki alanından hassas bir sunucuya rastgele kod yüklemesine olanak tanır.

Bunun gibi olaylar, birçok yazılıma dahil olan paketlerde ortaya çıkarıldığında tek bir kusurun nasıl dalgalanma etkileri olabileceğini, daha sonraki saldırılar için bir kanal görevi görebileceğini ve etkilenen sistemler için kritik bir risk oluşturduğunu gösteriyor. Huntress Labs Kıdemli Güvenlik Araştırmacısı John Hammond , "Tüm tehdit aktörlerinin bir saldırıyı tetiklemesi tek satırlık bir metindir" dedi .

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.