İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

2022 10. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

10.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

02-03-2022

Xerte 3.9- Remote Code Execution (RCE) (Authenticated)

WebApps

PHP

02-03-2022

Zyxel ZyWALL 2 Plus Internet Security Appliance- Cross-Site Scripting (XSS)

WebApps

Multiple

07-03-2022

Attendance and Payroll System v1.0- SQLi Authentication Bypass

WebApps

PHP

08-03-2022

Linux Kernel 5.8 <5.16.11- Local Privilege Escalation (DirtyPipe)

Local

Linux

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

03-03-2022

CVE-2022-20754, CVE-2022-20755

Rastgele komut yürütme/Cisco Expressway

03-03-2022

CVE-2021-4191, CVE-2022-0735

Veri hırsızlığı/GitLab

05-03-2022

CVE-2022-0492

Rastgele komut yürütme/Linux

06-03-2022

! CVE-2022-26485, CVE-2022-26486

Mozilla Firefox 

07-03-2022

CVE-2022-24989, CVE-2022-24990

Uzaktan kod yürütme/TerraMaster NAS

07-03-2022

AutoWarp

Hesaplara yetkisiz erişim sorunu/Microsoft Azure

07-03-2022

CVE-2022-0847 (Dirty Pipe)

Linux çekirdeği

08-03-2022

Access:7

Tedarik zinciri zafiyetleri/PTC Axeda

08-03-2022

CVE-2022-23924, … ,23934, CVE-2022-39297, … ,39301

HP UEFI

Mart ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

06-03-2022

SharkBot

Android bankacılık truva atı

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

03-03-2022

NVIDIA DLSS kaynak kodu ve hassas veriler sızdırıldı

NVIDIA

04-03-2022

Samsung, Galaxy akıllı telefonlarıyla ilgili kaynak kodu ve  şirket içi veriler sızdırıldı

Samsung Galaxy

04-03-2022

Martı İleri Teknoloji A.Ş.

Sistemlere yetkisiz erişim

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Ukrayna Rusya Savaşında Siber Gündem

TARİH: 3-8 Mart 2022

Hackerlar, Ukraynalı mülteciler ve malzemeler hakkında bilgi almak için Avrupalı ​​yetkilileri hedefliyor. Bölgedeki mülteci ve ikmal hareketi hakkında istihbarat elde etme girişimi olarak görülen, Avrupa devlet kurumlarına odaklanan ulus devlet destekli yeni bir kimlik avı kampanyasının ayrıntıları ortaya çıkarıldı. Kötü niyetli e-postaları ilk kez 24 Şubat 2022'de tespit eden kurumsal güvenlik şirketi Proofpoint, sosyal mühendislik saldırılarını " Asylum Ambuscade " olarak adlandırdı. Araştırmacılar, "Devam eden Rusya-Ukrayna savaşı ışığında, TA445 gibi vekil aktörlerin eylemleri, Ukrayna'dan gelen mültecilerin hareketi ve Rus hükümeti için önemli konularda istihbarat toplamak için Avrupa hükümetlerini hedef almaya devam edecek." Dedi. [1]

Rusya, DDoS saldırılarıyla altyapısına saldıran Ip ve domainlerin listesini yayınladı. Devam eden Rusya-Ukrayna çatışması tırmanmaya devam ederken, Rus hükümeti perşembe günü, yerel altyapısına yönelik bir dizi dağıtılmış hizmet reddi (DDoS) saldırısının arkasında olduğunu söylediği 17.576 IP adresi ve 166 alan adından oluşan devasa bir liste yayınladı . Rusya siber güvenlik ajansları, DDoS saldırılarına karşı koyma önerilerinin bir parçası olarak, kuruluşları ağ cihazlarını çevrelemeye, günlüğe kaydetmeyi etkinleştirmeye, temel altyapı öğeleriyle ilişkili şifreleri değiştirmeye, otomatik yazılım güncellemelerini kapatmaya, web sitelerinde üçüncü taraf eklentileri devre dışı bırakmaya, veri yedeklemelerini zorunlu kılmaya ve oltalama saldırılarına karşı dikkatli olmaya çağırıyor.  [2]

Rusya-Ukrayna savaşında her iki taraf da dezenformasyon ve hacktivizm için telegramı ağır bir şekilde kullanıyor. Siber suçlular ve hacktivist gruplar, Rusya-Ukrayna ihtilafında faaliyetlerini koordine etmek, veri sızdırmak ve dezenformasyon yaymak için Telegram mesajlaşma uygulamasını giderek daha fazla kullanıyor. Gruplar arasında öne çıkanlar, 270.000'den fazla üyesini Rus varlıklarına karşı dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemeye çağıran Ukrayna hükümeti destekli BT Ordusu da dahil olmak üzere Rus karşıtı siber saldırı gruplarıdır. Ukrayna'da Telegram kullanımındaki artış, gizlilik odaklı mesajlaşma Signal'ın kurucusu Moxie Marlinspike'ın dikkatinden kaçmadı. Marlinspike geçen hafta tweetinde "Gerçek tam tersi – Telegram varsayılan olarak herkesin gönderdiği/aldığı her mesajın düz metin kopyasını içeren bir bulut veritabanıdır. Son 10 yılda gönderilen/alınan her mesaj, fotoğraf, video, belge; tüm kişiler, grup üyelikleri, vb. hepsi bu veritabanına erişimi olan herkes tarafından kullanılabilir." Dedi. [3]

Ukrayna'nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), gelen kutularını tehlikeye atmak ve hassas bilgileri çalmak amacıyla üç farklı Hint kuruluşuna ait güvenliği ihlal edilmiş e-posta hesaplarından yararlanarak vatandaşlarını hedef alan yeni kimlik avı saldırıları konusunda uyardı. [4]

Gerçekleşen siber olaylar dikkate alınarak gerekli güvenlik sıkılaştırmaların yapılması, son kullanıcı farkındalığının arttırılması önerilmektedir.  Diğer önerilerimize buradan ulaşabilirsiniz.

[1] Haber ayrıntılarına bu ( [1] , [2], [3] , [4],  ) kaynaklardan ulaşabilirsiniz. 

Haber Yazısı 2

Siber Saldırganlar, Güçlendirilmiş DDoS Saldırıları için TCP Middlebox Reflection Tekniğini Kullanıyor

TARİH: 2 Mart 2022

TCP Middlebox Reflection adlı yeni bir amplifikasyon tekniğinden yararlanan dağıtılmış hizmet reddi (DDoS) saldırıları, yeni saldırı mekanizmasının teoride sunulmasından altı ay sonra, doğada ilk kez tespit edildi.

Akamai araştırmacıları salı günü yayınlanan bir raporda, "Saldırı, kurban bir makineye TCP trafiğini yansıtmak ve güçlendirmek için savunmasız güvenlik duvarlarını ve içerik filtreleme sistemlerini kötüye kullanıyor ve güçlü bir DDoS saldırısı yaratıyor." dedi. Araştırmacılar, "Bu tür bir saldırı, DDoS saldırıları için çıtayı tehlikeli bir şekilde düşürür, çünkü saldırgan hacimsel açıdan 1/75'e (bazı durumlarda) bant genişliği miktarına ihtiyaç duyar."

DRDoS, kurbanın sistemini yüksek hacimli UDP yanıtlarıyla boğmak için herkese açık UDP sunucularına ve bant genişliği artırma faktörlerine (BAF'ler) dayanan bir dağıtılmış hizmet reddi (DDoS) saldırısıdır.

Bu saldırılarda, düşman, hedeflenen varlığa sahte bir kaynak IP adresi içeren bir DNS veya NTP istekleri seli gönderir ve hedef sunucunun yanıtları sahte adreste bulunan ana bilgisayara bant genişliğini tüketen güçlendirilmiş bir şekilde geri göndermesine neden olur. TCP tabanlı yansıma ile temel fikir, hacimsel bir yanıtı tetiklemek için özel hazırlanmış TCP paketleri göndererek sansür yasalarını ve kurumsal içerik filtreleme politikalarını uygulamak için kullanılan orta kutulardan yararlanmaktır.

Siber savunucuların teoriden pratiğe geçtiğimizin farkında olmaları ve savunma stratejilerini yakında gerçek dünyada görecekleri bu yeni vektöre göre gözden geçirmeleri önerilmektedir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Sağlık Kuruluşları Dikkat! İnfüzyon Pompalarının Yaklaşık %75'i Ciddi Güvenlik Açıklarından Etkileniyor

TARİH: 3 Mart 2022

Hastanelerde ve sağlık kuruluşlarında kullanılan 200.000'den fazla ağa bağlı infüzyon pompasından elde edilen kitle kaynaklı verilerin analizi, bu tıbbi cihazların %75'inin onları potansiyel istismar riskine sokabilecek güvenlik zayıflıkları içerdiğini ortaya çıkardı.

Unit 42 güvenlik araştırmacısı Aveek Das yayınlanan bir raporda, "Bu eksiklikler, bilinen 40 siber güvenlik açığından birine veya daha fazlasına maruz kalmayı ve/veya IoT cihazları için bilinen 70 diğer güvenlik eksikliğinden bir veya daha fazlasına sahip olduklarına dair uyarıları içeriyor." Dedi .

Palo Alto Networks'ün tehdit istihbarat ekibi, taramaları yedi tıbbi cihaz üreticisinden aldığını söyledi. Bunun da ötesinde, taranan tüm infüzyon pompalarının %52,11'i, toplu olarak " ACİL/11 " olarak adlandırılan 11 kusurun bir parçası olarak 2019'da açıklanan bilinen iki güvenlik açığına karşı hassastı:

- CVE-2019-12255 (CVSS puanı: 9.8) – Wind River VxWorks'ün TCP bileşeninde bir arabellek taşması hatası
- CVE-2019-12264 (CVSS puanı: 7.1) – Wind River VxWorks'ün DHCP istemci bileşeninde yanlış erişim denetimiyle ilgili bir sorun

İnfüzyon pompasını etkileyen diğer önemli kusurlar aşağıda listelenmiştir:

- CVE-2016-9355 (CVSS puanı: 5.3) – Alaris 8015 Point of Care birimlerine fiziksel erişimi olan yetkisiz bir kullanıcı, çıkarılabilir flash belleğe erişmek için cihazı parçalarına ayırabilir, bu da cihaz belleğine okuma ve yazma erişimi sağlar
- CVE-2016-8375 (CVSS puanı: 4.9) – Alaris 8015 Point of Care birimlerinde, şifrelenmemiş kablosuz ağ kimlik doğrulama bilgilerini ve diğer hassas teknik verileri elde etmek için kullanılabilecek bir kimlik bilgisi yönetim hatası
- CVE-2020-25165 (CVSS puanı: 7.5) – Alaris 8015 Point of Care birimlerinde, cihazlarda hizmet reddi saldırısı gerçekleştirmek için kötüye kullanılabilecek uygunsuz bir oturum kimlik doğrulama güvenlik açığı
- CVE-2020-12040 (CVSS puanı: 9.8) – Sigma Spectrum Infusion System'da hassas bilgilerin açık metin iletimi
- CVE-2020-12047 (CVSS puanı: 9.8) – Baxter Spectrum WBM'de sabit kodlanmış FTP kimlik bilgilerinin kullanımı
- CVE-2020-12045 (CVSS puanı: 9.8) – Baxter Spectrum WBM'de sabit kodlanmış Telnet kimlik bilgilerinin kullanımı
- CVE-2020-12043 (CVSS puanı: 9.8) – Baxter Spectrum WBM FTP hizmeti, yeniden başlatılana kadar beklenen sona erme süresinden sonra çalışır durumda kalır
- CVE-2020-12041 (CVSS puanı: 9.8) – Baxter Spectrum Kablosuz Batarya Modülü (WBM), Telnet üzerinden veri aktarımına ve komut satırı arayüzlerine izin verir

Sağlık endüstrisinin, infüzyon pompaları ve hastane ağları için en iyi uygulamaları özenle takip edip, bilinen güvenlik açıklarına karşı koruma çabalarını iki katına çıkarmaları önerilmektedir.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

CISA, Aktif Olarak Kullanılmış Güvenlik Açıkları Kataloğuna 95 Açıklık Daha Ekledi!

TARİH: 4 Mart 2022

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bu hafta Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna 95 güvenlik açığı daha ekleyerek aktif olarak yararlanılan güvenlik açıklarının toplam sayısını 478'e çıkardı.

Ajans, 3 Mart 2022'de yayınlanan bir danışma belgesinde, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli risk oluşturur." dedi.

Yeni eklenen 95 hatadan, 38 Cisco, Microsoft için 27, Adobe için 16, Oracle için 7 ve diğerleri Apache Tomcat, ChakraCore, Exim, Mozilla Firefox, Linux Kernel, Siemens SIMATIC CP ve Treck TCP/IP yığınının sahip olduğu güvenlik açıklarıyla ilgilidir,

Güvenlik açıklarından üçü – CVE-2022-20699, CVE-2022-20700 ve CVE-2022-20708 – CVSS derecelendirme ölçeğinde 10 üzerinden 10 olarak derecelendirildi ve bir saldırganın kötü amaçlı komutlar enjekte etmesine, kök ayrıcalıklarını yükseltmesine ve savunmasız sistemlerde rastgele kod çalıştırmasına olanak tanıyor.

Güvenlik açıklarının önemli riskini azaltmak ve potansiyel siber saldırılar için bir vektör olarak kullanılmalarını önlemek amacıyla ABD'deki federal kurumların yamaları 17 Mart 2022'ye kadar uygulamaları zorunludur.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

Microsoft, Adobe ve Diğer Büyük Yazılım Firmaları Tarafından Kritik Güvenlik Yamaları Yayınlandı

TARİH: 8 Mart 2022

Microsoft'un mart ayı salı yama güncellemesi , Windows, Office, Exchange ve Defender gibi yazılım ürünlerini kapsayan 71 yama ile resmi olarak kullanıma sunuldu.

Toplam 71 yamadan üçü Kritik ve 68'i önem açısından Önemli olarak derecelendirilmiştir. Güvenlik açıklarından hiçbiri aktif olarak yararlanılmış olarak listelenmese de üçü yayın sırasında herkes tarafından biliniyor. Microsoft'un bu ayın başlarında Chromium tabanlı Microsoft Edge tarayıcısındaki 21 kusuru ayrı ayrı ele aldı. Bu ay giderilen üç kritik güvenlik açığının tümü, HEVC Video Uzantılarını ( CVE-2022-22006 ), Microsoft Exchange Server'ı ( CVE-2022-23277 ) ve VP9 Video Uzantılarını ( CVE-2022-24501 ) etkileyen uzaktan kod yürütme kusurlarıdır.

Özetle, yamalar 29 uzaktan kod yürütme güvenlik açığını, 25 ayrıcalık yükselmesi güvenlik açığını, altı bilginin açığa çıkması güvenlik açığını, dört hizmet reddi güvenlik açığını, üç güvenlik özelliği atlama güvenlik açığını, üç sahtecilik güvenlik açığını ve bir kurcalama güvenlik açığını kapatır.

Diğer Satıcılardan Yazılım Yamaları:

Microsoft'a ek olarak, çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından güvenlik güncelleştirmeleri de yayımlanmıştır:

- Adobe
- Android
- Cisco
- Citrix
- HP
- Intel
- Juniper Networks
- Linux dağıtımları Oracle Linux , Red Hat ve SUSE
- Mozilla Firefox ve Firefox ESR
- SAP
- Schneider Electric ve
- Siemens

Yayınlanan yamaların hızlı bir şekilde uygulanması önerilmektedir.

[5] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Ukrayna Rusya Siber Gündem
  2. TCP Middlebox Reflection
  3. Sağlık Kuruluşları
  4. CISA Zafiyet Listesi
  5. Microsoft Yama
  6. Zararlı Yazılımlar
  7. Zafiyetler
  8. Exploitler