Haftanın Önemli Gelişmeleri – 17. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

carbanak
VirusTotal’de Bulunan CARBANAK Kötü Amaçlı Yazılımının Kaynak Kodu Çözüldü

Güvenlik araştırmacıları, Carbanak kötü amaçlı yazılımının tam kaynak kodunu keşfettiler.

İlk olarak 2014 yılında Kaspersky Lab tarafından keşfedilen Carbanak, siber suçu sürdürmek için tekniklerini sürekli geliştiren, son derece organize bir grup tarafından başlatılan dünyadaki en başarılı kötü amaçlı yazılım saldırılarındandır.

Geçtiğimiz yılın temmuz ayında, Carbanak’ın kaynak kodunun halka sızdırıldığı yönünde bir söylenti vardı, ancak Kaspersky Lab’daki araştırmacılar sızan kodun Carbanak olmadığını belirtmişlerdi. Fakat bu hafta içerisinde, FireEye’den siber güvenlik araştırmacıları, Carbanak’ın kaynak kodunu, yapımcılarını ve daha önce görülmeyen etkenlerini, iki yıl önce Rusya kaynaklı bir IP adresinden VirusTotal kötü amaçlı yazılım tarama motoruna yüklenen iki RAR arşivinde bulduğunu açıkladı.

Hacker grubu, faaliyetlerine neredeyse altı yıl önce, dünyadaki bankaları ve ATM ağlarını tehlikeye atmak için Anunak ve Carbanak’ı kullanarak kötü amaçlı yazılım saldırısı başlatmıştı ve böylece dünya genelinde 100’den fazla bankadan bir milyar euroya yakın para çalmıştı.

drupal vulnerability
Drupal, Güvenlik Açıkları için CMS Güncelleştirmeleri Yayınladı

Drupal, açık kaynak ve özgür bir içerik yönetim sistemi (CMS), Drupal Core’da saldırganlar tarafından yüz binlerce web sitesinin güvenliğini ilgilendiren birden fazla “orta seviye kritik” güvenlik açıklarının giderilmesi için güncelleştirmeler yayımladı.

Güvenlik zafiyetlerinden biri, milyonlarca web sitesi tarafından kullanılan ve Drupal Core’a entegreli Javascript kütüphanesi olan jQuery’de tespit edilen XSS açığıdır.

Geçtiğimiz günlerde jQuery kütüphanesinin önceki tüm sürümlerini etkileyen güvenlik zafiyetini düzeltmek için en son sürüm (jQuery 3.4.0) yayımlandı.

Diğer güvenlik zafiyetleri ise, Drupal Core tarafından kullanılan “Symfony Php” bileşenlerinde tespit edildi; XSS (CVE-2019-10909), Remote Code Execution (CVE-2019-10910), Authentication Bypass (CVE-2019-1091) ile sonuçlanabilen kritik saldırılar tespit edildi.

Hackerların, Drupal sistemler üzerindeki istismarlarının popülerliği göz önüne alındığında en kısa zamanda CMS’in en son güncellemesi yapılmalıdır:

  • Drupal 8.6 kullanan kullanıcılar için 8.6.15 güncellemesi yapılmalıdır.
  • Drupal 8.5 ya da daha eski sürümünü kullanan kullanıcılar için 8.5.15 güncellemesi yapılmalıdır.
  • Drupal 7 kullanan kullanıcılar için Drupal 7.66 güncellemesi yapılmalıdır.

Geçtiğimiz yılda hackerlar ayrıca Drupalgeddon2 ve Drupalgeddon3 olarak adlandırılan istismar kodlarını kullanarak kitlesel saldırılar uygulamış, yüz binlerce Drupal web sitesini hacklemişti. Bu saldırılar sonucu zararlı kodların internette yayınlanmasıyla kısa süre içinde büyük ölçekli sömürü girişimleri gözlenmişti.

Sonuç olarak hackerların radarına girmemek ve daha güvenli bir internet ortamı için web sitelerinizi güncel tutmayı ihmal etmemelisiniz.

Tchap
Fransız Hükümeti ‘nin Yeni Güvenli Mesajlaşma Uygulamasına Sızıldı

Beyaz şapkalı bir bilgisayar korsanı, Fransız hükümetinin yeni başlatılan, güvenli şifreli mesajlaşma uygulamasına girmenin bir yolunu buldu, halbuki bu mesajlaşma uygulamasına yalnızca devlet kimlikleriyle ilişkili e-posta hesapları olan yetkililer ve politikacılar girebilmekteydi.

Uçtan uca şifreli, açık kaynaklı bir mesajlaşma uygulaması olan “Tchap” olarak adlandırılan, yetkilileri, milletvekillerini ve bakanları, ülke içindeki sunuculardaki verilerini, yabancı kurumların diğer hizmetleri kullanabileceği endişeleriyle ilgili tutmak amacıyla oluşturuldu.

Tchap uygulaması, uçtan uca şifreli iletişim için kendi kendine zorlanabilen Matrix protokolünü uygulayan açık kaynaklı bir anlık mesajlaşma yazılımı olan Riot istemcisi kullanılarak oluşturulmuştur.

Tchap uygulaması Google Play Store’da mevcut olmasına ve herkes tarafından indirilebilinmesine rağmen, devlet tarafından verilen bir e-posta hesabına sahip olan kullanıcılar, örneğin, @ gouv.fr veya @ elysee.fr ona ulaşabilir.

Ancak, Twitter kullanıcı adı Elliot Alderson tarafından daha iyi tanınan bir Fransız güvenlik araştırmacısı olan Robert Baptiste, herhangi birinin Tchap uygulamasıyla bir hesap açmasına ve resmi bir e-posta adresi gerektirmeden gruplara ve kanallara erişmesine izin verebilecek bir güvenlik zafiyeti buldu.

Saldırgan, “E-postayı fs0c131y @ protonmail.com @ presidence @ elysee.fr olarak değiştirdim. Tombala! Tchap’tan bir e-posta aldım, hesabımı doğruladım! Elysée çalışanı olarak oturum açtım ve umumi odalara erişebildim.” şeklinde açıklama yaptı.

Güvenlik araştırmacısı, bu güvenlik açığını ilgili yerlere bilrdirdiğini de belirtti.

mongodb
Hatalı MongoDB, İranlı Ulaşım Firmasını Zor Duruma Soktu

İran merkezli bir seyahat arama şirketindeki hatalı bir MongoDB veritabanı, 6.7 milyondan fazla verinin sızdırılmasına sebep oldu. Saldırıda BinaryEdge arama motoru kullanılarak doroshke-invoice-production’ adı verilen veri tabanı ele geçirildi. Sızdırılan veritabanında, iki grup fatura tahsilat bilgileri bulunmaktadır. İlk grup 2017 yılına, ikinci grup ise 2018 yılına ait verilerdir. Aynı zamanda İran’ı sarsan olayda sızan bilgiler, sürücülerin isim-soyisim bilgilerini, İran kimlik numaralarını, telefon numaralarını ve fatura tarihlerini de içermektedir.

Siber güvenlik araştırmacısı Bob Diachenko, ele geçirilen verilerde tekrarlama olmadığını belirtirken, ele geçirilen verilerdeki kişi sayısının toplam 2 milyona yakın olduğunu belirtti.

Güvenlik araştırmacıları, İran CERT’sine olayla ilgili bilgi verdi. Ek olarak, Diachenko bu durumdan başka kimlerin haberdar edilmesi gerektiğini belirlemek için İran’daki siber güvenlik araştırmacıları ile de temasa geçti. Bu konu hakkında ise Diachenko “Veritabanının sahibini belirlemek için birkaç kişiyle iletişim kurabildik. Aynı zamanda, meslektaşlarım veri kaynağı sızıntısını doğrulamak için İran’daki en büyük seyahat şirketlerine de ulaştı.” şeklinde belirtti. Bu konu hakkında bir de blog yazısına yazan araştırmacılar, zafiyet tespitinden kısa bir süre sonra, İran’daki fırmayı bularak onlarla da temasa geçti.