2022 12. Hafta Siber Güvenlik Haberleri

SİBER GÜVENLİK GÜNDEMİ

12.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih	Exploit Başlığı	Tür	Platform
16-03-2022	Pluck CMS 4.7.16- Uzaktan Kod Yürütme (RCE) (Kimliği Doğrulandı)	WebApps	PHP
16-03-2022	Tiny File Manager 2.4.6- Uzaktan Kod Yürütme (RCE)	WebApps	PHP
21-03-2022	Wordpress Eklentisi iQ Block Country 1.2.13- Zip Slip ile Keyfi Dosya Silme (Kimlik Doğrulanmış)	WebApps	PHP
22-03-2022	Sysax FTP Otomasyonu 6.9.0- Ayrıcalık Yükseltme	Local	Windows
22-03-2022	ICT Protege GX/WX 2.08- İstemci Tarafı SHA1 Parola Karma Açıklaması	Remote	Hardware

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih	Zafiyet Başlığı	Tür/Platform
16-03-2022	CVE-2021-43304 ve CVE-2021-43305, CVE-2021-42387, …, CVE-2021-42391	ClickHouse veri tabanı yöneticisi
16-03-2022	Dompdf	RCE
16-03-2022	CVE-2022-0778	Sonsuz döngü hatası/OpenSSL
17-03-2022	CVE-2022-0811	Kök erişim elde etmek/CRI-O Motoru
22-03-2022	CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 ve CVE-2022-24421	Dell BIOS

Mart ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih	Zararlı Yazılım Başlığı	Tür/Platform
16-03-2022	B1txor20	Bot ağı/Linux
17-03-2022	TrickBot	Bankacılık truva atı/ MikroTik yönlendiricilerini kulalnmakta
17-03-2022	DirtyMoe	Bot ağı, kripto hırsızlığı,DDoS
18-03-2022	BlackMatter	Fidye yazılım zararlısı
21-03-2022	CryptoRom	Kripto dolandırıcılığı
21-03-2022	Serpent	Arka kapı

Haftanın Veri İhlalleri

Tarih	Veri İhlali Başlığı	Veri İhlali Tür/Platform
15-03-2022	Facebook, 2018'de 12'den Fazla Veri İhlalinden 18,6 Milyon Dolarlık GDPR Cezası Aldı	Meta Platform
22-03-2022	Microsoft ve Okta, Veri İhlalini Onayladı	İhlal dilmiş hesap aracılığıyla

Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.

Haber Yazısı 1

FBI ve CISA, MFA ve PrintNightmare Zafiyetini Sömüren Rus Siber Saldırganlara Karşı Uyarıyor

TARİH: 16 Mart 2022

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI), Rusya destekli tehdit aktörlerinin bir dizi kusurdan yararlanarak isimsiz bir sivil toplum kuruluşunun ağını hacklediğine dair ortak bir tavsiye uyarısı yayınladı.

Ajanslar "Mayıs 2021 gibi erken bir tarihte, Rus devlet destekli siber aktörler, bir sivil toplum kuruluşunda (STK) varsayılan [çok faktörlü kimlik doğrulama] protokollerine ayarlanmış yanlış yapılandırılmış bir hesaptan yararlanarak, MFA için kurban ağına yeni bir cihaz kaydetmelerine ve erişim sağlamalarına izin verdi. Oyuncular daha sonra sistem ayrıcalıklarıyla rastgele kod çalıştırmak için kritik bir Windows Yazdırma Biriktiricisi güvenlik açığı olan 'PrintNightmare' ( CVE-2021-34527 )'den yararlandı." dedi.

Saldırının son aşamasında, güvenliği ihlal edilmiş yeni hesaplar, daha sonra, kuruluşun bulut depolama ve e-posta hesaplarından verileri sifonlamak için ağ üzerinde yanal olarak hareket etmek için kullanıldı.

Bu tür saldırıları azaltmak için hem CISA hem de FBI, kuruluşlara çok faktörlü kimlik doğrulama yapılandırma politikalarını uygulamalarını ve gözden geçirmelerini, Active Directory'deki etkin olmayan hesapları devre dışı bırakmalarını ve bilinen açıklardan yararlanılan kusurlar için yama uygulamasına öncelik vermelerini tavsiye ediyor.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Rus Cyclops Blink Botnet'in Yeni Varyantı ASUS Yönlendiricileri Hedefliyor

TARİH: 16 Mart 2022

ASUS yönlendiricileri, kötü amaçlı yazılımın WatchGuard güvenlik duvarı cihazlarını ihlal edilen ağlara uzaktan erişim sağlamak için bir adım olarak kötüye kullandığı ortaya çıktıktan neredeyse bir ay sonra Cyclops Blink adlı yeni bir botnet'in hedefi olarak ortaya çıktı.

Trend Micro tarafından yayınlanan yeni bir rapora göre, virüs bulaşan ev sahiplerinin hiçbirinin kritik kuruluşlara veya ekonomik, siyasi veya askeri casusluk üzerinde belirgin bir değeri olan kuruluşlara ait olmadığı" göz önüne alındığında, botnet'in asıl amacı yüksek değerli hedeflere yönelik daha fazla saldırı için bir altyapı oluşturmaktır.

Birleşik Krallık ve ABD'den istihbarat teşkilatları, Cyclops Blink'i, başta küçük ofis/ev ofis (SOHO) yönlendiricileri ve ağa bağlı depolama (NAS) cihazları olmak üzere ağ cihazlarını sömüren başka bir kötü amaçlı yazılım olan VPNFilter'ın yerine geçen bir çerçeve olarak nitelendirdi.

C dilinde yazılan gelişmiş modüler botnet, bir dizi ASUS yönlendirici modelini etkiler ve şirket, olası herhangi bir istismarı gidermek için bir güncelleme üzerinde çalıştığını belirtti.

- GT-AC5300 üretici yazılımı 3.0.0.4.386.xxxx altında
- GT-AC2900 üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC5300 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC88U üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3100 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC86U bellenimi
- RT-AC68U, AC68R, AC68W, AC68P üretici yazılımı 3.0.0.4.386.xxxx altında
- 3.0.0.4.386.xxxx altında RT-AC66U_B1 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC3200 üretici yazılımı
- 3.0.0.4.386.xxxx altında RT-AC2900 üretici yazılımı
- RT-AC1900P, RT-AC1900P üretici yazılımı 3.0.0.4.386.xxxx altında
- RT-AC87U (ömrünün sonu)
- RT-AC66U (ömrünün sonu) ve
- RT-AC56U (ömrünün sonu)

Avrupa'da bir firma, Güney Avrupa'da diş hekimleri için tıbbi ekipman üreten orta ölçekli bir kuruluş ve ABD'de bir sıhhi tesisat şirketi IoT cihazlarının ve yönlendiricilerinin, yama uygulamasının seyrek olması ve güvenlik yazılımının olmaması nedeniyle kazançlı bir saldırı yüzeyi haline gelmesiyle Trend Micro, bunun "ebedi botnet'lerin" oluşumuna yol açabileceği konusunda uyardı.

Araştırmacılar, "Bir IoT cihazına kötü amaçlı yazılım bulaştığında, bir saldırgan keşif, casusluk, proxy oluşturma veya saldırganın yapmak istediği herhangi bir şey için daha fazla kötü amaçlı yazılım aşamasını indirmek ve dağıtmak için sınırsız internet erişimine sahip olabilir" dedi.

Güncellemelerin takip edilip yayınlanan yamaların hızlı bir şekilde uygulanması önerilmektedir.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Siber Saldırganlar ATM Makinelerinden Para Çalmak İçin Yeni Rootkit ile Banka Ağlarını Hedefliyor

TARİH: 18 Mart 2022

Mali güdümlü bir tehdit aktörünün, Otomatik Vezne Makinesi (ATM) anahtarlama ağlarını tehlikeye atmak ve sahte kartlar kullanarak farklı bankalarda yetkisiz nakit çekimleri gerçekleştirmek amacıyla Oracle Solaris sistemlerini hedefleyen önceden bilinmeyen bir rootkit dağıttığı gözlemlendi.

Tehdit istihbaratı ve olay müdahale firması Mandiant, UNC2891 takma adıyla kümeyi izliyor ve grubun bazı taktikleri, teknikleri ve prosedürleri UNC1945 olarak adlandırılan başka bir kümeninkiyle örtüşüyor .

Mandiant araştırmacıları bu hafta yayınlanan yeni bir raporda, aktör tarafından sahnelenen izinsiz girişlerin "yüksek derecede OPSEC içerdiğini ve kanıtları kaldırmak ve müdahale çabalarını engellemek için hem genel hem de özel kötü amaçlı yazılımlardan, yardımcı programlardan ve komut dosyalarından yararlandığını" söyledi.

Ek olarak, saldırı zincirlerinin çeşitli kötü amaçlı yazılımları ve aşağıdakiler de dahil olmak üzere herkese açık yardımcı programları kullandığı tespit edildi:

- STEELHOUND – Gömülü bir yükün şifresini çözmek ve yeni ikili dosyaları şifrelemek için kullanılan STEELCORGI bellek içi damlatıcının bir çeşidi
- WINHOOK – Verileri kodlanmış bir biçimde yakalayan Linux ve Unix tabanlı işletim sistemleri için bir keylogger
- WINGCRACK – WINGHOOK tarafından oluşturulan kodlanmış içeriği ayrıştırmak için kullanılan bir yardımcı program
- WIPERIGHT – Linux ve Unix tabanlı sistemlerde belirli bir kullanıcıya ait günlük girişlerini silen bir ELF yardımcı programı
- MIGLOGCLEANER – Linux ve Unix tabanlı sistemlerde günlükleri silen veya günlüklerden belirli dizeleri kaldıran bir ELF yardımcı programı

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.