2022 12. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
12.Hafta Siber Güvenlik Haberleri
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
16-03-2022 |
Pluck CMS 4.7.16- Uzaktan Kod Yürütme (RCE) (Kimliği Doğrulandı) |
WebApps |
PHP |
16-03-2022 |
WebApps |
PHP |
|
21-03-2022 |
Wordpress Eklentisi iQ Block Country 1.2.13- Zip Slip ile Keyfi Dosya Silme (Kimlik Doğrulanmış) |
WebApps |
PHP |
22-03-2022 |
Local |
Windows |
|
22-03-2022 |
ICT Protege GX/WX 2.08- İstemci Tarafı SHA1 Parola Karma Açıklaması |
Remote |
Hardware |
Güncel tüm exploitlere buradan ulaşabilirsiniz.
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Tür/Platform |
16-03-2022 |
CVE-2021-43304 ve CVE-2021-43305, CVE-2021-42387, …, CVE-2021-42391 |
ClickHouse veri tabanı yöneticisi |
16-03-2022 |
RCE |
|
16-03-2022 |
Sonsuz döngü hatası/OpenSSL |
|
17-03-2022 |
Kök erişim elde etmek/CRI-O Motoru |
|
22-03-2022 |
CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 ve CVE-2022-24421 |
Dell BIOS |
Mart ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Tür/Platform |
16-03-2022 |
Bot ağı/Linux |
|
17-03-2022 |
Bankacılık truva atı/ MikroTik yönlendiricilerini kulalnmakta |
|
17-03-2022 |
Bot ağı, kripto hırsızlığı,DDoS |
|
18-03-2022 |
Fidye yazılım zararlısı |
|
21-03-2022 |
Kripto dolandırıcılığı |
|
21-03-2022 |
Arka kapı |
Haftanın Veri İhlalleri
Tarih |
Veri İhlali Başlığı |
Veri İhlali Tür/Platform |
15-03-2022 |
Facebook, 2018'de 12'den Fazla Veri İhlalinden 18,6 Milyon Dolarlık GDPR Cezası Aldı |
Meta Platform |
22-03-2022 |
İhlal dilmiş hesap aracılığıyla |
Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.
Haber Yazısı 1
FBI ve CISA, MFA ve PrintNightmare Zafiyetini Sömüren Rus Siber Saldırganlara Karşı Uyarıyor
TARİH: 16 Mart 2022
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Rusya destekli tehdit aktörlerinin bir dizi kusurdan yararlanarak isimsiz bir sivil toplum kuruluşunun ağını hacklediğine dair ortak bir tavsiye uyarısı yayınladı.
Ajanslar "Mayıs 2021 gibi erken bir tarihte, Rus devlet destekli siber aktörler, bir sivil toplum kuruluşunda (STK) varsayılan [çok faktörlü kimlik doğrulama] protokollerine ayarlanmış yanlış yapılandırılmış bir hesaptan yararlanarak, MFA için kurban ağına yeni bir cihaz kaydetmelerine ve erişim sağlamalarına izin verdi. Oyuncular daha sonra sistem ayrıcalıklarıyla rastgele kod çalıştırmak için kritik bir Windows Yazdırma Biriktiricisi güvenlik açığı olan 'PrintNightmare' ( CVE-2021-34527 )'den yararlandı." dedi.
Saldırının son aşamasında, güvenliği ihlal edilmiş yeni hesaplar, daha sonra, kuruluşun bulut depolama ve e-posta hesaplarından verileri sifonlamak için ağ üzerinde yanal olarak hareket etmek için kullanıldı.
Bu tür saldırıları azaltmak için hem CISA hem de FBI, kuruluşlara çok faktörlü kimlik doğrulama yapılandırma politikalarını uygulamalarını ve gözden geçirmelerini, Active Directory'deki etkin olmayan hesapları devre dışı bırakmalarını ve bilinen açıklardan yararlanılan kusurlar için yama uygulamasına öncelik vermelerini tavsiye ediyor.
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Rus Cyclops Blink Botnet'in Yeni Varyantı ASUS Yönlendiricileri Hedefliyor
TARİH: 16 Mart 2022
ASUS yönlendiricileri, kötü amaçlı yazılımın WatchGuard güvenlik duvarı cihazlarını ihlal edilen ağlara uzaktan erişim sağlamak için bir adım olarak kötüye kullandığı ortaya çıktıktan neredeyse bir ay sonra Cyclops Blink adlı yeni bir botnet'in hedefi olarak ortaya çıktı.
Trend Micro tarafından yayınlanan yeni bir rapora göre, virüs bulaşan ev sahiplerinin hiçbirinin kritik kuruluşlara veya ekonomik, siyasi veya askeri casusluk üzerinde belirgin bir değeri olan kuruluşlara ait olmadığı" göz önüne alındığında, botnet'in asıl amacı yüksek değerli hedeflere yönelik daha fazla saldırı için bir altyapı oluşturmaktır.
Birleşik Krallık ve ABD'den istihbarat teşkilatları, Cyclops Blink'i, başta küçük ofis/ev ofis (SOHO) yönlendiricileri ve ağa bağlı depolama (NAS) cihazları olmak üzere ağ cihazlarını sömüren başka bir kötü amaçlı yazılım olan VPNFilter'ın yerine geçen bir çerçeve olarak nitelendirdi.
C dilinde yazılan gelişmiş modüler botnet, bir dizi ASUS yönlendirici modelini etkiler ve şirket, olası herhangi bir istismarı gidermek için bir güncelleme üzerinde çalıştığını belirtti.
- GT-AC5300 üretici yazılımı 3.0.0.4.386.xxxx altında
- GT-AC2900 üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC5300 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC88U üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3100 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC86U bellenimi
- RT-AC68U, AC68R, AC68W, AC68P üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC66U_B1 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3200 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC2900 üretici yazılımı
- RT-AC1900P, RT-AC1900P üretici yazılımı 3.0.0.4.386.xxxx altında
- RT-AC87U (ömrünün sonu)
- RT-AC66U (ömrünün sonu) ve
- RT-AC56U (ömrünün sonu)
Avrupa'da bir firma, Güney Avrupa'da diş hekimleri için tıbbi ekipman üreten orta ölçekli bir kuruluş ve ABD'de bir sıhhi tesisat şirketi IoT cihazlarının ve yönlendiricilerinin, yama uygulamasının seyrek olması ve güvenlik yazılımının olmaması nedeniyle kazançlı bir saldırı yüzeyi haline gelmesiyle Trend Micro, bunun "ebedi botnet'lerin" oluşumuna yol açabileceği konusunda uyardı.
Araştırmacılar, "Bir IoT cihazına kötü amaçlı yazılım bulaştığında, bir saldırgan keşif, casusluk, proxy oluşturma veya saldırganın yapmak istediği herhangi bir şey için daha fazla kötü amaçlı yazılım aşamasını indirmek ve dağıtmak için sınırsız internet erişimine sahip olabilir" dedi.
Güncellemelerin takip edilip yayınlanan yamaların hızlı bir şekilde uygulanması önerilmektedir.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 3
Siber Saldırganlar ATM Makinelerinden Para Çalmak İçin Yeni Rootkit ile Banka Ağlarını Hedefliyor
TARİH: 18 Mart 2022
Mali güdümlü bir tehdit aktörünün, Otomatik Vezne Makinesi (ATM) anahtarlama ağlarını tehlikeye atmak ve sahte kartlar kullanarak farklı bankalarda yetkisiz nakit çekimleri gerçekleştirmek amacıyla Oracle Solaris sistemlerini hedefleyen önceden bilinmeyen bir rootkit dağıttığı gözlemlendi.
Tehdit istihbaratı ve olay müdahale firması Mandiant, UNC2891 takma adıyla kümeyi izliyor ve grubun bazı taktikleri, teknikleri ve prosedürleri UNC1945 olarak adlandırılan başka bir kümeninkiyle örtüşüyor .
Mandiant araştırmacıları bu hafta yayınlanan yeni bir raporda, aktör tarafından sahnelenen izinsiz girişlerin "yüksek derecede OPSEC içerdiğini ve kanıtları kaldırmak ve müdahale çabalarını engellemek için hem genel hem de özel kötü amaçlı yazılımlardan, yardımcı programlardan ve komut dosyalarından yararlandığını" söyledi.
Ek olarak, saldırı zincirlerinin çeşitli kötü amaçlı yazılımları ve aşağıdakiler de dahil olmak üzere herkese açık yardımcı programları kullandığı tespit edildi:
- STEELHOUND – Gömülü bir yükün şifresini çözmek ve yeni ikili dosyaları şifrelemek için kullanılan STEELCORGI bellek içi damlatıcının bir çeşidi
- WINHOOK – Verileri kodlanmış bir biçimde yakalayan Linux ve Unix tabanlı işletim sistemleri için bir keylogger
- WINGCRACK – WINGHOOK tarafından oluşturulan kodlanmış içeriği ayrıştırmak için kullanılan bir yardımcı program
- WIPERIGHT – Linux ve Unix tabanlı sistemlerde belirli bir kullanıcıya ait günlük girişlerini silen bir ELF yardımcı programı
- MIGLOGCLEANER – Linux ve Unix tabanlı sistemlerde günlükleri silen veya günlüklerden belirli dizeleri kaldıran bir ELF yardımcı programı
[3] Haber ayrıntılarına buradan ulaşabilirsiniz.
Kaynakça
- PrintNightmare
- Asus Yönlendiriciler
- ATM’lere Yönelik Saldırıları
- Fidye Yazılım Saldırılar
- Zararlı Yazılımlar
- Zafiyetler
- Exploitler