EN
EN

2022 11. Hafta Siber Güvenlik Haberleri

18 Mart 2022


SİBER GÜVENLİK GÜNDEMİ

11.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

09-03-2022

Wondershare Dr.Fone 12.0.18 - 'Wondershare InstallAssist' Unquoted Service Path

Local

Windows

10-03-2022

McAfee(R) Safe Connect VPN- Unquoted Service Path Elevation Of Privilege

Local

Windows

10-03-2022

Zabbix 5.0.17- Remote Code Execution (RCE) (Authenticated)

WebApps

PHP

10-03-2022

New Exploit Bypasses Existing Spectre-V2 Mitigations in Intel, AMD, Arm CPUs

Hardware

Intel, AMD, Arm

11-03-2022

Tdarr 2.00.15- Command Injection

Remote

Multiple

14-03-2022

VIVE Runtime Service- 'ViveAgentService' Unquoted Service Path

Local

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

09-03-2022

CVE-2019-18394

RCE/Pascom bulut telefon sistemi

09-03-2022

CVE-2022-22805-22806, CVE-2022-0715 

Ara bellek taşması, kimlik doğrulama atlama/APC Smart-UPS Cihazları

09-03-2022

CVE-2022-26143

Mitel cihazları

14-03-2022

CVE-2022-25636

Rastgele kod yürütme/Netfilter firewall linux hatası

14-03-2022

Dirty Pipe

QNAP cihazları etkileyen linux açıklıkları

Mart ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

14-03-2022

Kwampirs

Backdoor

14-03-2022

CaddyWiper

Silecek yazılımı

Haftanın Veri İhlalleri

Tarih

Veri İhlali Başlığı

Veri İhlali Tür/Platform

14-03-2022

Oyun şirketi Ubisoft hacklendiğini doğruladı

Ubisoft

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

Emotet Botnet'in Yeni Hali 100.000'den Fazla Bilgisayara Yayıldı

TARİH: 9 Mart 2022

10 aylık bir aradan sonra Kasım 2021'de geri dönen sinsi Emotet botnet, bir kez daha istikrarlı büyüme belirtileri sergiliyor ve kötü niyetli faaliyetlerini gerçekleştirmek için 100.000'den fazla virüslü cihazdan oluşan oluşan bir botneti bir araya getiriyor.

Lumen's Black Lotus Labs'tan araştırmacılar bir raporda, "Emot henüz bir zamanlar sahip olduğu ölçeğe ulaşmamış olsa da botnet Kasım 2021'den bu yana 179 ülkeye yayılmış yaklaşık 130.000 benzersiz botla güçlü bir canlanma gösteriyor." Dedi . Emotet, Ocak 2021'in sonlarında "Ladybird" adlı kordineli bir yasa uygulama operasyonunun bir parçası olarak yayından kaldırılmasından önce, dünya çapında 1,6 milyondan az cihaza bulaşmamıştı ve siber suçluların güvenliği ihlal edilmiş sistemlere bankacılık truva atları veya fidye yazılımları gibi diğer kötü amaçlı yazılım türlerini yüklemeleri için bir kanal görevi görmüştür. Black Lotus Labs, Emotet'in yeni varyantlarının ağ trafiğini şifrelemek için RSA şifreleme şemasını eliptik eğri kriptografisi (ECC) lehine değiştirdiğini ekleyerek "botların toplanmasının gerçekten Ocak [2022]'ye kadar ciddi şekilde başlamadığını" belirtti.

Yeteneklerine bir başka yeni ekleme, güvenliği ihlal edilmiş makinelerden çalışan işlemler listesinin ötesinde ek sistem bilgileri toplama yeteneğidir. Emotet'in botnet altyapısının alan adlarının çoğu ABD, Almanya, Fransa, Brezilya, Tayland, Singapur, Endonezya, Kanada, Hindistan, Birleşik Krallık'ta bulunan yaklaşık 200 komuta ve kontrol (C2) sunucusunu kapsadığı söyleniyor. Enfekte botlar ise ağırlıklı olarak Asya'da, özellikle Japonya, Hindistan, Endonezya ve Tayland, Güney Afrika, Meksika, ABD, Çin, Brezilya ve İtalya'da yoğunlaşıyor. Araştırmacılar, "Bölgedeki savunmasız veya eski Windows ana bilgisayarlarının baskınlığı göz önüne alındığında bu şaşırtıcı değil" dedi.

Cihazlarınızı ve dolayısıyla kuruluşunuzu bot ağından korumak için sistemlerinizi güncel tutmak ve sıkılaştırma tedbirlerini almanız önerilmektedir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

İranlı Siber Saldırganlar Yeni Kötü Amaçlı Yazılım Kampanyasında Türkiye ve Arap Yarımadasını Hedefliyor

TARİH: 10 Mart 2022

MuddyWater olarak bilinen İran devlet destekli tehdit aktörü, güvenliği ihlal edilmiş sistemlere uzaktan erişim truva atları (RAT) yerleştirmek amacıyla Türkiye ve Arap Yarımadası'nı hedef alan yeni bir saldırı kampanyasıyla ilişkilendiriliyor.

Cisco Talos araştırmacıları yayınlanan bir raporda, "MuddyWater grubu casusluk, fikri mülkiyet hırsızlığı yapmak, bir kuruluşta fidye yazılımı ve yıkıcı kötü amaçlı yazılımları dağıtmak için yetkisiz erişimi kullanabilir." Dedi.

En az 2017'den beri aktif olan grup, İran'ın jeopolitik ve ulusal güvenlik hedeflerini daha da ilerletmeye yardımcı olan çeşitli sektörlere yönelik saldırılarıyla tanınıyor. Ocak 2022'de ABD Siber Komutanlığı, aktörü ülkenin İstihbarat ve Güvenlik Bakanlığı'na (MOIS) bağladı.

Siber güvenlik firması, MuddyWater'ın "tek bir tehdit aktörü grubu yerine bağımsız olarak çalışan birden fazla ekipten oluşan bir holding olduğunu ve Çin merkezli bir gelişmiş kalıcı tehdit (APT) olan Winnti  ile ilişkili olduğunu düşünüyor.

Son gelişen siber güvenlik kampanyaları, komuta ve kontrol sunucularından alınan rastgele kod ve komutları yürütebilen SloughRAT (aka Canopy by CISA) adlı bir uzaktan erişim truva atını dağıtmak için kimlik avı mesajları aracılığıyla gönderilen kötü amaçlı yazılımla bağlantılı belgelerin kullanımını içeriyor.

Bu tür zararlı yazılımlardan korunmak için uygun güvenlik ürünlerinin (Firewall, Antivirüs, Sandbox, XDR, EDR vb.) kullanılması, ağ sınırlandırmalarının yapılması, dışarıdan gelecek tehditler için network ve sistemlerinin 7/24 izlemelerinin gerçekleştirilmesi ve sunucu sıkılaştırılmalarının yapılması önerilmektedir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Popüler Yazılım Paket Yöneticilerinde Bulunan Çoklu Güvenlik Kusurlarına Dikkat!

TARİH: 11 Mart 2022

Popüler paket yöneticilerinde, potansiyel olarak kötüye kullanılması durumunda keyfi kod çalıştırmak ve güvenliği ihlal edilmiş makinelerden kaynak kodu ve erişim belirteçleri dahil olmak üzere hassas bilgilere erişmek için kötüye kullanılabilecek birden fazla güvenlik açığı açıklandı.

SonarSource araştırmacısı Paul Gerste, "Bu, uzaktan bir geliştirici makinesine doğrudan bir saldırı başlatılamayacağı ve geliştiricinin hatalı biçimlendirilmiş dosyaları yüklemesi için kandırılmasını gerektirdiği anlamına gelir" dedi Fakat her geliştiricinin siber farkındalığı yüksek olmayabilir buda bu tehdit için açık bir kapı olabilir.

Hileli kitaplıkların depoları paketlemeye başlamasıyla ilgili güvenlik riskleri olsa da bağımlılıkları yönetme eylemi genellikle potansiyel olarak riskli bir işlem olarak görülmez. Ancak çeşitli paket yöneticilerinde yeni keşfedilen sorunlar, bunların saldırganlar tarafından kurbanları kötü niyetli kod yürütmeleri için kandırmak için silahlandırılabileceğini vurguluyor. Kusurlar aşağıdaki paket yöneticilerinde tespit edilmiştir:

- Composer 1.x <1.10.23 and 2.x < 2.1.9
- Bundler < 2.2.33
- Bower < 1.8.13
- Poetry < 1.1.9
- Yarn < 1.22.13
- pnpm < 6.15.1
- Pip (no fix), and
- Pipenv (no fix)

Gerste, "Geliştiriciler, siber suçlular için çekici bir hedef çünkü bir şirketin temel fikri mülkiyet varlıkları olan kaynak koda erişimleri var. Onlardan ödün vermek, saldırganların casusluk yapmasına veya bir şirketin ürünlerine kötü amaçlı kod yerleştirmesine olanak tanır. Bu, tedarik zinciri saldırılarını gerçekleştirmek için dahi kullanılabilir." dedi. 

Bu tür saldırılardan korunma için geliştiricilerin güvenlik farkındalıklarını arttırmaları ve güvenli yazılım geliştirme tedbirlerinin uygulanması önerilmektedir.

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 4

Büyük DDoS Saldırısı İsrail Hükümetinin İnternet Sitelerini Çevrimdışı Hale Getirdi

TARİH: 15 Mart 2022

İsrail hükümetine ait bir dizi web sitesi pazartesi günü dağıtılmış bir hizmet reddi ( DDoS ) saldırısında düşürüldü ve portallar kısa bir süre için erişilemez hale geldi.

İsrail Ulusal Siber Müdürlüğü (INCD) bir tweet'te, "Son birkaç saat içinde bir iletişim sağlayıcısına yönelik bir DDoS saldırısı tespit edildi. Sonuç olarak, aralarında devlet sitelerinin de bulunduğu birçok web sitesine erişim kısa bir süreliğine engellendi. Şu an itibariyle tüm web siteleri normal faaliyetlerine geri döndü." dedi.

Dağıtılmış bir hizmet reddi saldırısı, saldırı trafiği kaynağı olarak güvenliği ihlal edilmiş bilgisayarları ve IoT cihazlarını kullanarak kurbanı ve çevresindeki altyapıyı bir önemsiz internet trafiği akışıyla ezerek hedeflenen bir sunucunun veya hizmetin normal trafiğini engellemeye yönelik kötü niyetli bir girişimdir.

Gelişme, internet gözlemcisi NetBlocks'un İsrail'in telekom sağlayıcıları Bezeq ve Cellcom tarafından sağlanan birden fazla ağda kayıtlı "önemli kesintiler" olduğunu bildirmesinin ardından geldi.

INCD, saldırıları belirli bir tehdit aktörüne sabitlemedi, ancak Jerusalem Post , olayın , ülkenin Fordow nükleer zenginleştirme tesisine yönelik sabotaj girişimi iddiasına misilleme olarak İran bağlantılı bir hacker grubunun işi olabileceği ihtimaline değindi.

DDoS saldırılarından korunmak için router düzeyi, firewall düzeyi ve son kullanıcı düzeyinde güvenlik önlemlerinin alınması önerilmekledir.

[4] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 5

2021'in 4. Çeyreğinde Yüzlerce Siber Saldırıda Yaklaşık 34 Fidye Yazılımı Varyantı Gözlemlendi

TARİH: 15 Mart 2022

Intel 471 tarafından yayınlanan yeni araştırmaya göre, 2021'in dördüncü çeyreğinde 722 fidye yazılımı saldırısı gözlemlendi ve LockBit 2.0, Conti, PYSA, Hive ve Grief en yaygın türler olarak ortaya çıktı.

Saldırılar, 2021'in üçüncü ve ikinci çeyreğinden itibaren sırasıyla 110 ve 129 saldırı artışına işaret ediyor. Ekim ve Aralık 2021 arasındaki üç aylık dönemde toplamda 34 farklı fidye yazılımı varyantı tespit edildi.

Üç aylık dönemde en çok etkilenen sektörler aşağıda verilen görselde ki gibidir:

Kaydedilen tüm LockBit 2.0 saldırılarından en çok etkilenen ülkeler arasında ABD, ardından İtalya, Almanya, Fransa ve Kanada yer aldı. Conti enfeksiyonlarının çoğu ABD, Almanya ve İtalya'da da rapor edildi. ABD, PYSA ve Hive fidye yazılımı saldırılarından da en çok etkilenen ülke olmaya devam etti.

Araştırmacılar, "Tüketici ve endüstriyel ürünler sektörünü etkileyen saldırılar 2021'in üçüncü çeyreğine göre %22,2 artarak dördüncü çeyrekte en çok etkilenen sektör haline geldi" dedi.

Fidye yazılım saldırılarından korunmak için ilgili makalemizden faydalanabilirsiniz.

[5] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Emotet
  2. Türkiye Hedefli Saldırı
  3. Paket Yönetici Zafiyetleri
  4. İsrail DDoS Saldırısı
  5. Fidye Yazılım Saldırıları
  6. Zararlı Yazılımlar
  7. Zafiyetler
  8. Exploitler

 

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog