Haftanın Önemli Gelişmeleri – 5. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

cisco
Yeni Exploit Dünya Çapında 9000’den Fazla Cisco Routerı Tehtit Ediyor

Geçen hafta exploiti yayınlanan 2 adet zafiyet Cisco RV320 ve RV325 cihazlarını etkilemekte. Alman güvenlik firması RedTeam Pentesting tarafından keşfedilen ve bildirilen her iki güvenlik açığı, aslında yönlendiriciler için kullanılan web tabanlı yönetim arabiriminde bulunuyor ve uzaktan kullanılabiliyor.

Zafiyetlerden ilki CVE-2019-1652 cihaz üzerinde oturumu bulunan kullanıcının uzaktan kod çalıştırmasına izin vermektedir.

CVE-2019-1653 kodlu diğer zafiyet ise router web yönetim paneline erişmek için oturum açılma zorunluluğunu ortadan kaldırmaktadır. Buda saldırganlara cihaz üzerinde md5 ile özetlenmiş kullanıcı bilgilerine ve cihaz konfigürasyon dosyasına erişime neden olmaktadır.

İnternette yayınlanan PoC’a göre saldırganların ilk olarak CVE-2019-1653 den elde ettikleri bilgiler ile sistemde oturum açıp CVE-2019-1652 nolu zafiyet sayesinde cihazlar üzerinde komut çalıştırmasına izin vermektedir.

Bu zafiyetlerden etkilenmemek için Cisco RV320 ve RV325 cihazlarına 1.4.2.20 nolu firmware güncellemesini yapmanız önerilmektedir.

Firmware güncellemesi için:

https://software.cisco.com/download/home/284005929/type/282465789/release/1.4.2.20?catid=268437899

shipping malware
URSNİF Virüsü Microsoft Word Makroları İle Yayılıyor

Cisco Talos Intelligence’e göre, şifre çalma virüsü olan Ursnif Bank Trojan’ın yeni bir çeşidinin tespit edilmeden kalarak, dosyasız enfeksiyonlar sağladığı tespit edildi.

Araştırmacılar, kullanıcılardan makroları etkinleştirmelerini isteyen bir Microsoft Word belgesinden gelen kötü amaçlı bir VBA makrosu içeren bir uyarı aldı. Etkinleştirildiğinde, PowerShell çalışır ve ardından başka bir PowerShell komutu Ursnif virüsünü indirir.

İndirilen virüs sistemden bilgi toplamaya başlar, CAB dosya formatına yerleştirir ve ardından HTTPS güvenli bağlantısı üzerinden komut ve kontrol sunucusuna gönderir. Virüsün dosyasız olması geleneksel anti-virüs tekniklerinin C2 trafiğini normal trafikten ayırt etmesini zorlaştırır. Kernel32’den aktarılan API’ler arasında GetCurrentProcess, VirtualAllocEx, GetCurrentThreadID, QueueUserAPC, OpenThread ve SleepEx’in de bulunduğu tespit edildi.

Virsec ortak kurucusu Ray Demeo, “Bu, antivirüsün yaratıcı bilgisayar korsanları tarafından nasıl kolayca atlanabileceğinin en son örneği. Tespit edilemeyen siber saldırılar yapmak için yüzlerce gelişmiş yazılımlar mevcut. Biz böyle saldırıların devam edeceğini varsaymalıyız ve bilgisayar korsanlarını durdurmaya odaklanmalıyız.” diye belirtti.

Talos araştırmacıları Ursnif virüsünü nasıl bula bileceğiniz ve ondan korunmanıza yardım olacak bir blog paylaşımında bulunmuş durumda.

facetime
Yeni “FaceTime” Açığı Arayanların Siz Çağrıyı Cevaplamadan da Duymalarını ve Görmelerini Sağlıyor

Bir Apple cihazınız varsa, FaceTime uygulamasını birkaç gün boyunca derhal KAPALI konuma getirmelisiniz.

Apple’ın popüler video ve sesli arama uygulaması FaceTime’da, siz çağrıyı cevaplamadan önce arayanın sizi duymasına veya görmesine izin verebilecek bir gizlilik hatası ortaya çıktı.

Hata, Twitter’da ve diğer sosyal medya platformlarında birden fazla kullanıcının, herhangi bir iPhone’u kullanıcının bilgisi olmadan gizlice dinleyen bir cihaza dönüştürebilmesi için bu gizlilik sorunundan şikâyetçi olması nedeniyle hızla yayıldı.

İşte uygulamadaki mantık hatası:

  • Herhangi bir iPhone kullanıcısı ile FaceTime Video araması başlatın.
  • Aramanız devam ederken, iPhone ekranınızı yukarı kaydırın ve ‘Kişi Ekle’ye dokunun.
  • Kendi telefon numaranızı ‘Kişi Ekle’ ekranından ekleyebilirsiniz.
  • Bu, aradığınız kişi henüz aramayı kabul etmemiş olsa bile sesini dinleyebileceğiniz bir grup FaceTime araması başlatır.

Ayrıca, ilk aradığınız kişinin aramayı susturmak veya kapatmak için (bir toplantıda veya meşgul olması durumunda) ses kısma düğmesine veya güç düğmesine basması durumunda, iPhone kamerasının da açılacağı söyleniyor.

ios
Çinli Hacker, iPhone X’te JaCbreak İstismarı Buldu

Çinli bir siber güvenlik araştırmacısı geçtiğimiz hafta içerisinde, Apple Safari web tarayıcısında ve IOS 12.1.2 de dahil olmak üzere önceki IOS sürümlerinde çalışan, kullanıcıların cihazlarını tehlikeye atan kritik güvenlik zafiyetlerini teknik ayrıntıları ile açıkladı.

Qihoo 360’ın Vulcan Ekibi’nden güvenlik araştırmacısı Qixun Zhao tarafından keşfedilen istismar, ilk olarak geçen yıl Kasım ayında düzenlenen TianfuCup hack yarışmasında sergilenen ve daha sonra Apple güvenlik ekibine bildirilen iki güvenlik açığından yararlanıyor. Araştırmacıya göre, uzaktan Jailbreak istismarı bu iki güvenlik zafiyetini birlikte istismar ederek kullanmaktadır. Bu iki zafiyetten biri Apple’ın Safari WebKit’inde bulunan confusion memory corruption flaw(CVE-2019-6227) diğeri ise use-after-free memory corruption (CVE-2019- 6225) zafiyetidir. İstismarın kanıt videosunda ilk zafiyet kullanılarak safari uygulaması üzerinden sistemde rastgele kod çalıştırıldı sonrasında ise bu zafiyet kullanılarak sistem üzerinde hak yükseltildi. Böylece kötü niyetli saldırgan zararlı uygulamayı sisteme kurabildi.

Bu gibi saldırılardan korunmak için iPhone kullanıcılarının en son iOS güncellemelerini en kısa sürede yüklemeleri tavsiye edilmektedir.