EN

2022 6. Hafta Siber Güvenlik Haberleri


SİBER GÜVENLİK GÜNDEMİ

6.Hafta Siber Güvenlik Haberleri

Haftanın Exploitleri

Tarih

Exploit Başlığı

Tür

Platform

02-02-2022

PHP Unit 4.8.28- Remote Code Execution (RCE) (Unauthenticated)

WebApps

PHP

04-02-2022

FLAME II MODEM USB- Unquoted Service Path

Local

Windows

08-02-2022

Wing FTP Server 4.3.8- Remote Code Execution (RCE) (Authenticated)

Remote

Windows

Güncel tüm exploitlere buradan ulaşabilirsiniz.

Haftanın Zafiyetleri

Tarih

Zafiyet Başlığı

Tür/Platform

03-02-2022

CVE-2022-20699, CVE-2022-20700 ve CVE-2022-20707

Cisco small business RV serisi router

03-02-2022

CVE-2022-21141

Airspan Networks Mimosa ekipmanı

05-02-2022

CVE-2022-24348

Argo CD

Ocak ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.

Haftanın Zararlı Yazılımları

Tarih

Zararlı Yazılım Başlığı

Tür/Platform

02-02-2022

GoldMax

Uzak sunucuda rastgele kod yürütme

03-02-2022

UpdateAgent

Mac truva atı

03-02-2022

BATLOADER

Truva atı-SEO zehirleme saldırı kampanyası ile dağıtılmakta

06-02-2022

xPack

Arka kapı

07-02-2022

CapraRAT

Android arka kapı

08-02-2022

Medusa

Android bankacılık truva atı

08-02-2022

Roaming Mantis

Android zararlı yazılımı

 

Haber Yazısı 1

Siber Saldırganlar, Zimbra E-post Platformundaki 0 Gün Güvenlik Açığını Kullanıyor

TARİH: 3 Şubat 2022

Aralık 2021'de başlayan hedef odaklı kimlik avı kampanyalarının bir parçası olarak Zimbra açık kaynaklı e-posta platformundaki sıfır gün güvenlik açığından aktif olarak yararlanmaya çalışılıyor.

Casusluk operasyonu, siber güvenlik şirketi Volexity tarafından perşembe günü yayınlanan teknik bir raporda detaylandırıldı. Siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından başarılı bir şekilde yararlanılmasının, kullanıcının Zimbra oturumu bağlamında rastgele JavaScript kodunun yürütülmesine neden olabileceğine dikkat çekti.

 Sıfır gün hatası, Zimbra'nın 8.8.15 sürümünü çalıştıran en son açık kaynaklı sürümünü etkilemektedir.

Saldırıların iki aşamada gerçekleştiğine inanılıyor; İlk aşama, bir hedef mesajları alıp açtıysa sekmeleri tutmak için tasarlanmış e-postaları keşfetmeyi ve dağıtmayı amaçlıyordu. Sonraki aşamada, alıcıları kötü niyetli bir bağlantıya tıklamaları için kandırmak için birden fazla e-posta mesajı dalgası yayınlandı. Saldırgan tarafından, iki haftalık bir süre içinde e-postaları göndermek için toplam 74 benzersiz outlook.com e-posta adresi oluşturuldu; bunların arasında, ilk keşif maillerinde davetiyelerden hayır amaçlı müzayedelere ve uçak biletleri için para iadelerine kadar uzanan genel konular yer aldı.

Yama uygulanmamış kusur, silaha dönüştürüldüğü takdirde bir posta kutusuna kalıcı erişime izin vermek için çerezleri sızdırmak, bulaşmayı genişletmek için güvenliği ihlal edilmiş e-posta hesabından kimlik avı mesajları göndermek ve hatta ek kötü amaçlı yazılımların indirilmesini kolaylaştırmak için kötüye kullanılabilir.

Zimbra 8.8.15'in güvenli bir sürümü olmadığı için kullanıcıların 9.0.0 sürümüne yükseltmeleri önerilmektedir.

[1] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 2

Microsoft Zararlı Yazılımlardan Korunmak İçin MSIX Uygulama Yükleyicilerini Geçici Olarak ve Office Uygulamalarındaki İnternet Makrolarını Varsayılan Olarak Devre Dışı Bırakıyor

TARİH: 7 Şubat 2022

Microsoft geçtiğimiz hafta, yükleyici bileşenindeki bir güvenlik açığının Emotet, TrickBot ve Bazaloader gibi kötü amaçlı yazılımlar sunmak için tehdit aktörleri tarafından kullanıldığına dair kanıtların yayınlanmasının ardından Windows'ta MSIX ms-appinstaller protokol işleyicisini geçici olarak devre dışı bıraktığını duyurdu.

.msi, .appx , App-V ve ClickOnce yükleme teknolojilerinin bir kombinasyonuna dayanan MSIX, geliştiricilerin uygulamalarını masaüstü işletim sistemi ve diğer platformlar için dağıtmalarına olanak tanıyan evrensel bir Windows uygulama paketi biçimidir . ms-appinstaller, özellikle, kullanıcıların bir web sitesindeki bir bağlantıyı tıklatarak bir Windows uygulamasını yüklemelerine yardımcı olmak için tasarlanmıştır.

Windows Uygulama Yükleyicisi ‘nde ( CVE-2021-43890 , CVSS puanı: 7.1) ortaya çıkarılan bir kimlik sahtekarlığı güvenlik açığı, bunun kimlik avı kampanyalarında kullanılan kötü amaçlı bir ek aracılığıyla kullanıcı tarafından asla yüklenmesi amaçlanmayan sahte bir uygulamayı yüklemesi için kandırılabilmektedir.

Microsoft, Aralık 2021 Salı Yaması güncellemelerinin bir parçası olarak bu kusuru gidermek için ilk yamaları yayınlamış olsa da şirket güvenlik açığını tamamen kapatmak ve daha fazla istismarı önlemek için çalışırken ms-appinstaller şemasını devre dışı bıraktı.

Yine microsoft pazartesi günü yaptığı açıklamada, web'den indirilen belgeler için Word, Excel, PowerPoint, Access ve Visio dahil olmak üzere ürünlerinde Visual Basic for Applications (VBA) makrolarını varsayılan olarak devre dışı bırakmak için adımlar attığını söyledi.

Kellie Eickmeyer, hamleyi duyuran bir gönderide, "Siber saldırganlar, Office dosyalarında farkında olmadan onları etkinleştiren son kullanıcılara makrolar gönderir, kötü niyetli yükler iletilir ve kötü amaçlı yazılım, güvenliği ihlal edilmiş kimlik, veri kaybı ve uzaktan erişim dahil olmak üzere etki ciddi olabilir." Dedi.
Şirket, kullanıcıları Office dosyalarında makrolara izin verilmesi konusunda uyarsa da şüpheli olmayan kullanıcılar (örneğin, kimlik avı e-postalarının alıcıları) özelliği etkinleştirmeye ikna edilebilir ve böylece saldırganlara sisteme ilk adımlarını atabilme yeteneği etkin bir şekilde verilebilir.

Bununla birlikte, kullanıcılar dosyaya sağ tıklayıp içerik menüsünden Özellikler'i seçerek ve Genel sekmesinden "Engellemeyi kaldır" onay kutusunu işaretleyerek indirilen herhangi bir dosya için makroların engellemesini kaldırabilir. Güncelleştirmelerin, özelliği "gelecek bir tarihte" Office LTSC, Office 2021, Office 2019, Office 2016 ve Office 2013'e geri aktarma planları ile birlikte Nisan 2022'de Microsoft 365 kullanıcılarına uygulanması bekleniyor.

[2] Haber ayrıntılarına buradan ulaşabilirsiniz.

Haber Yazısı 3

Microsoft ve Diğer Büyük Yazılım Firmaları Şubat 2022 Yama Güncellemelerini Yayınladı

TARİH: 8 Şubat 2022

Microsoft salı günü Windows, Office, Teams, Azure Veri Gezgini, Visual Studio Code ve Kernel ve Win32k gibi diğer bileşenlerden oluşan yazılım serisinde 51 güvenlik açığı için düzeltmeler içeren aylık güvenlik güncellemelerini kullanıma sundu. Kapatılan 51 kusurdan 50'si önemli olarak derecelendirildi ve biri önem derecesi açısından Orta olarak derecelendirildi.

Güvenlik açıklarının hiçbiri aktif istismar altında listelenmezken, CVE-2022-21989 (CVSS puanı: 7.8) kusurları, yayın sırasında kamuya açıklanmış bir sıfır gün olarak sınıflandırılmıştır. Sorun, Windows Çekirdeğinde bir ayrıcalık yükseltme hatasıyla ilgilidir ve Microsoft, bu eksiklikten yararlanan olası saldırılara karşı uyarıda bulundu.

Diğer Satıcılardan Yazılım Yamaları

Microsoft'un yanı sıra, çeşitli güvenlik açıklarını gidermek için diğer satıcılar tarafından güvenlik güncelleştirmeleri de yayımlanmıştır.

-Adobe
-Android
-Cisco
-Citrix
-Google Chrome
-Intel
-Linux dağıtımları Oracle Linux , Red Hat ve SUSE
-Mozilla Firefox ve Firefox ESR
-SAP
-Schneider Electric ve
-Siemens

[3] Haber ayrıntılarına buradan ulaşabilirsiniz.

Kaynakça

  1. Zimbra
  2. Microsoft
  3. Şubat Yamaları
  4. Zararlı Yazılımlar
  5. Zafiyetler
  6. Exploitler