2021 26. Hafta Siber Güvenlik Haberleri
SİBER GÜVENLİK GÜNDEMİ
26.Hafta Siber Güvenlik Haberleri
Haftanın Exploitleri
Tarih |
Exploit Başlığı |
Tür |
Platform |
23-06-2021 |
WebApps |
PHP |
|
24-06-2021 |
WebApps |
CFM |
|
25-06-2021 |
Lightweight facebook-styled blog 1.3- Remote Code Execution (RCE) (Authenticated) (Metasploit) |
WebApps |
PHP |
28-06-2021 |
WordPress Plugin YOP Polls 6.2.7- Stored Cross Site Scripting (XSS) |
WebApps |
PHP |
29-06-2021 |
Remote |
Android |
Güncel tüm exploitlere buradan ulaşabilirsiniz.
Haftanın Zafiyetleri
Tarih |
Zafiyet Başlığı |
Zafiyet Tür/Platform |
23-06-2021 |
Fingerprinting Saldırısı/Tor |
|
24-06-2021 |
Kimlik Doğrulama/Vmware | Carbon Black |
|
24-06-2021 |
Tedarik Zinciri Saldırısı/ Atlassian Cloud |
|
25-06-2021 |
CVE-2021-21571, CVE-2021-21572, CVE-2021-21573, CVE-2021-21574 |
Sertifika doğrulama, Yığın taşması /Dell PC ve Tablet |
25-06-2021 |
Aktif Saldırı Altında-ZYXEL Firewall ve VPN |
|
27-06-2021 |
Cisco ASA (Adaptive Security Appliance) |
|
28-06-2021 |
Microsoft Edge Bug/UXSS |
Haziran ayı içerisinde yayınlanan tüm zafiyetlere buradan ulaşabilirsiniz.
Haftanın Zararlı Yazılımları
Tarih |
Zararlı Yazılım Başlığı |
Zararlı Yazılım Tür/Platform |
25-06-2021 |
Güvenli Modu Kötüye Kullanma/Windows |
Haftanın Veri İhlalleri
Tarih |
Veri İhlali Başlığı |
Veri İhlali Tür/Platform |
28-06-2021 |
INTERGEN Genetik ve Nadir Hastalıklar Tanı Araştırma & Uygulama Merkezi |
|
Yerel veri ihlal bildirimlerine buradan ulaşabilirsiniz.
Haber Yazısı 1
Pakistan Bağlantılı Siber Saldırganlar ReverseRat ile Hintli Elektrik Şirketini Hedef Aldı
TARİH: 23 Haziran 2021
Yeni bir araştırmaya göre, Pakistan ile bağlantılı olduğundan şüphelenilen bir tehdit aktörü, Güney ve Orta Asya bölgelerindeki hükümet ve enerji kuruluşlarına, güvenliği ihlal edilmiş Windows sistemlerine uzaktan erişim truva atı yerleştirmek için çalışmalar yapıyor.
Lumen'in Kara Lotus Laboratuvarları salı günü yaptığı bir analizde, "Uzlaşma belirtileri gösteren kuruluşların çoğu Hindistan'da ve az sayıda da Afganistan'daydı. Potansiyel olarak tehlikeye atılmış kurbanlar, hükümet ve elektrik şirketi dikeyleriyle uyumlu" dedi .
Kurbanlardan bazıları yabancı bir devlet kuruluşu, bir enerji nakil kuruluşu ve bir elektrik üretim ve nakil kuruluşudur. Gizli operasyonun en azından Ocak 2021'de başladığı söyleniyor.
İzinsiz girişler birkaç nedenden dolayı dikkate değerdir. Özellikle de yüksek oranda hedeflenmiş ülkelerin aynı olmasına ek olarak İzinsiz girişler, bir dizi nedenden dolayı dikkate değerdir, özellikle de son derece hedefli doğasına ek olarak,düşman tarafından benimsenen taktikler, teknikler ve prosedürler (TTP'ler), amacı değiştirilen açık kaynak koduna ve kötü amaçlı dosyalarını barındırmak için hedeflenen varlıkla aynı ülkede güvenliği ihlal edilmiş alan adlarının kullanımına dayanır. Aynı zamanda grup, kayıt defteri anahtarlarını değiştirerek etkinliklerini gizlemeye özen gösterdi ve onlara dikkat çekmeden hedef cihazda gizlice kalıcılık sağlama yeteneği verdi. Saldırı, kimlik avı e-postaları veya tıklandığında bir Microsoft kısayol dosyası (.lnk) içeren bir ZIP arşiv dosyası ve güvenliği ihlal edilmiş bir etki alanından bir tuzak PDF dosyası indiren mesajlar yoluyla gönderilen kötü niyetli bir bağlantıyla başlar.
Araştırmacılar, "Bu tehdit aktörünün hedefleri şimdiye kadar Güney ve Orta Asya bölgelerinde kalırken, ilgi ağlarına erişim sağlamada etkili olduklarını kanıtladılar" dedi
[1] Haber ayrıntılarına buradan ulaşabilirsiniz.
Haber Yazısı 2
Yamasız Sanal Makine Devralma Hatası Google Compute Engine'i Etkiliyor
TARİH: 29 Haziran 2021
Google'ın Compute Engine platformunu etkileyen yama uygulanmamış bir güvenlik açığı, bir saldırgan tarafından ağ üzerinden sanal makineleri ele geçirmek için kötüye kullanılabilir.
Güvenlik araştırmacısı Imre Rad cuma günü yayınlanan bir analizde , "Bu, meta veri sunucusunu hedeflenen sanal makinenin bakış açısından taklit ederek yapılır. Saldırgan, bu açıktan yararlanarak SSH (ortak anahtar kimlik doğrulaması) üzerinden kendilerine erişim izni verebilir, böylece kök kullanıcı olarak oturum açabilirler" dedi.
Google Compute Engine ( GCE ), kullanıcıların isteğe bağlı olarak sanal makineler (VM'ler) oluşturmasına ve başlatmasına olanak tanıyan, Google Cloud Platform'un bir hizmet olarak altyapı (IaaS) bileşenidir. GCE, meta verileri , daha sonra çalışma zamanında sanal makinelere sağlanan anahtar/değer çiftleri biçiminde ayarlamak için merkezi bir nokta sunan meta veri sunucusu biçiminde meta verileri depolamak ve almak için bir yöntem sağlar .
Araştırmacıya göre, sorun, ISC DHCP istemcisi tarafından kullanılan zayıf sözde rastgele sayıların bir sonucudur ve bir düşmanın bir dizi önceden hesaplanmış işlem tanımlayıcısı (diğer bir deyişle XID'ler ) kullanarak birden fazla DHCP paketi oluşturduğu ve kurbanın DHCP'sini sular altında bıraktığı bir senaryoya neden olur. İstemci sonuçta meta veri sunucusunun kimliğine bürünmeye yol açar.
Dinamik Ana Bilgisayar Yapılandırma Protokolü ( DHCP ), IP ağlarında aygıt yapılandırma sürecini otomatikleştirmek için kullanılan bir ağ yönetim protokolüdür. Bir DHCP sunucusu, diğer ağlarla iletişim kurabilmeleri için ağdaki her istemci cihaza dinamik olarak bir IP adresi ve diğer ağ yapılandırma parametreleri atar.
Kurban VM'ye bir DHCP paketleri akışıyla vurarak, fikir "öngörülebilir" XID'den yararlanmak ve istemcinin Google'ın DHCP sunucu paketleri üzerinden saldırgan tarafından gönderilen bir paketi kabul etmesini sağlamaktır; bu noktada kurban VM'deki ağ yığını yapılandırılabilir haydut meta veri sunucusunu kullanmak için.
Potansiyel bir gerçek dünya senaryosunda, bahsedilen saldırı zinciri, bulut platformunun güvenlik duvarı kapatıldığında, yeniden başlatılırken veya internet üzerinden hedeflenen bir sanal makineye tam erişim sağlamak için bir düşman tarafından kötüye kullanılabilir.
[2] Haber ayrıntılarına buradan ulaşabilirsiniz.
Kaynakça