Haftanın Önemli Gelişmeleri – 18. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

docker
Docker Hub Hacklendi ve 190.000 Civarında Kullanıcı Hesabı Çalındı

Docker Hub, kullanıcılarına docker konteynerları için test ortamı yaratma, saklama ve paylaşma olanakları sunan bir depolama platformudur. Ayrıca bu platform farklı kullanıcılar ya da topluluklar tarafından oluşturulan docker imajlarını (kopyalarını) indirmek için kullanılmaktadır.

Docker Hub’ın hacklenmesiyle 190.000’e yakın hesaba ait kullanıcı adı ve parola bilgilerinin sızdırıldığı paylaşıldı. Saldırganlar tarafından yapılan yetkisiz erişim Docker Hub tarafından tespit edildi ve 25.04.2019 tarihinde Hub kullanıcılarına güvenlik ihlali olarak bildirildi.

Kullanıcılarla paylaşılan bildirimlerde Docker Hub veritabanında oluşan veri sızıntısına değinildi, yetkisiz erişimin sonucunda ortaya çıkarılan bilgilerin Hub kullanıcılarının yalnızca %5’lik kısmı olduğuna vurgu yapıldı. Gerekli güvenlik önlemlerinin alındığı, araştırmaların sonucunda sızıntının büyümesini engelleyebilmek için sıkılaştırma çalışmalarının hızlı bir şekilde sürdürüldüğü paylaşıldı.

Şirket, oluşan güvenlik ihlaliyle alakalı (veritabanına nasıl erişildiği) ayrıntılı bir açıklama yapmadı. Henüz bilinmeyen ve araştırılan bir başka konu ise saldırganların amacının tespit edilememesi oldu. Buna rağmen genel güvenlik süreçlerinin geliştirilmesi ve ihlalleri takip eden politikaların gözden geçirilmesi için çalışıldığı paylaşıldı.

Docker, tüm kullanıcılarından hesap hareketlerinin incelenmesini ve mevcut kullanıcı parolasının güncellenmesini istedi. Ayrıca Docker Hub kullanıcılarının farklı platformlarla bağlantılı (Github, Bitbucket gibi) hesap parolalarını da güncellemelerini tavsiye etti.

oracle weblogic
Oracle WebLogic ‘te Yamanmamış Yüksek Derecede Kritik Sıfırıncı Gün Açığı Keşfedildi

Bir siber güvenlik araştırma ekibi, Oracle WebLogic sunucu uygulamasında, bazı saldırganların çoktan sömürmeye başlamış olabileceği henüz yamanmamış, son derece kritik bir sıfırıncı gün güvenlik açığı yayınladı.

Oracle WebLogic, işletmelerin bulutta yeni ürünleri ve hizmetleri hızlı bir şekilde dağıtmalarına olanak tanıyan, ölçeklenebilir, Java tabanlı, çok katmanlı bir kurumsal uygulama sunucusudur. Hem bulut ortamında hem de geleneksel ortamlarda popülerdir.

Oracle WebLogic uygulamasının, “wls9_async_response.war” ve “wls-wsat.war” bileşenlerinin etkin olması durumunda tetiklenebilecek, uzaktan kod yürütme güvenlik açığı bulunduğu bildirilmektedir. KnownSec 404’ten araştırmacılar tarafından tespit edilen güvenlik açığı, saldırganların etkilenen sunucularda yalnızca özel bir HTTP isteği göndererek herhangi bir yetkilendirme gerektirmeden uzaktan komut çalıştırmalarına izin vermektedir.

Çin Ulusal Bilgi Güvenliği Güvenlik Açığı Paylaşım Platformu, “WAR paketinin girdi bilgilerini seri hale getirme hatası olduğundan, saldırgan, dikkatli bir şekilde oluşturulmuş kötü amaçlı bir HTTP isteği göndererek hedef sunucunun yetkisini alabilir ve komutu izinsiz olarak uzaktan yürütebilir” açıklamasını yaptı. (CNvD).

Araştırmacılar ayrıca, CNVD-C-2019-48814 olarak takip edilen sıfır günlük güvenlik açığı ayrıntılarını Oracle ekibiyle paylaştı, ancak şirket henüz bir düzeltme eki yayınlamadı. Etkilenen Oracle WebLogic sürümleri aşağıdaki gibidir:

  • WebLogic 10.X
  • WebLogic 12.1.3

Oracle, her üç ayda bir güvenlik güncellemeleri yayınladığından ve bu ay bir yama güncellemesi yayınladığından dolayı, bu sıfırıncı gün açığının yakında herhangi bir zamanda (yani Temmuz ayından önce değil) şirket güncellemeye karar vermeden düzeltilmesi mümkün değildir.

Bu nedenle, şirket bu güvenlik açığını düzeltmek için bir güncelleme yayınlayana kadar, sunucu yöneticilerine, aşağıdaki iki ayardan birini değiştirerek sistemlerinin sömürülmelerini engellemek amacıyla şiddetle tavsiye ediyor:

  • Wls9_async_response.war, wls-wsat.war dosyasını bulup silmek ve Weblogic hizmetini yeniden başlatmak veya
  • Erişim ilkesi denetimi yoluyla / _async / * ve / wls-wsat / * URL yollarına erişimi engelleme.
electrum
Hızla Büyüyen Electrum Botnet 152.000’den Fazla Kullanıcıyı Etkiliyor

Electrum Bitcoin cüzdanlarına yönelik hazırlanan botnet ağı 152 binden fazla bilgisayara bulaştı. Saldırı sonucunda hackerlar 4.5 milyon dolar değerinde coin çaldı.

Saldırganlar, Electrum’ın eşdüzey ağına, zararlı bir cüzdan yazılımı güncellemesi ekledi. Sonrasında bu zararlı güncellemeyi indirmeleri için resmi olmayan bir GitHub reposunu kullanıldı. Son olarak da zararlı güncellemeyi Electrum ağındaki bazı zararlı sunuculara oltalama yöntemi ile yüklemeyi başardı. Kimlik avı saldırısı sonunda saldırganların cüzdan fonlarını ele geçirerek bu fonu (o sırada yaklaşık 937.000 dolara eşit olan yaklaşık 250 Bitcoin) çalmalarına ve virüslü sistemler üzerinde tam kontrol sahibi olmalarına izin verdi.

Buna karşı koymak için, Electrum’un arkasındaki geliştiriciler, kullanıcıları cüzdan uygulamasının en yeni yamalı sürümünü indirmeye teşvik etmek için saldırganlarla aynı tekniği kullandı.

Yapılan açıklmaada, “Bu botnet’in bir parçası olan kurbanların sayısı sürekli değişiyor. Bazı makinelerin temizlenmesi, yenilerine virüs bulaştırılmaması gerekmektedir. Malwarebytes, günlük 2.000’den fazla uç noktadaki ElectrumDoSMiner enfeksiyonlarını tespit ediyor ve bunları yok ediyor “, diye belirtildi. Electrum’un güncellenmiş sürümleri kimlik avı saldırılarına karşı korumalı olduğundan, kullanıcıların cüzdan uygulamalarını resmi electrum.org sitesinden indirerek en son sürüme (3.3.4) güncellemeleri önerilmektedir. Bu arada, Electrum cüzdan uygulaması kullanıcılarının, DDoS saldırılarını önlemek için otomatik bağlantı özelliğini devre dışı bırakmaları ve sunucularını manuel olarak seçmeleri gerekmektedir.

data breach
Korunmasız Veri Tabanı 80 Milyon Amerikan Hanesinin Kişisel Bilgisini Açığa Vuruyor

Bir güvenlik araştırma ekibi, toplam Amerikan hane sayısının% 65’ini oluşturan yaklaşık 80 milyon ABD hanesiyle ilgili bilgileri açığa çıkaran halka açık bir veritabanı bulduğunu iddia etmektedir. İddiaya göre güvenli olmayan veri tabanı pazartesi gününe kadar çevrimiçi idi ve erişim için hiçbir doğrulama istemedi.

VPNMentor’un araştırma ekiplerinden olan Noam Rotem ve Ran Locar’ın öncülüğünde keşfedilen güvenli olmayan veritabanı, tam isimleri, adresleri, yaşları ve doğum tarihleri de dahil olmak üzere bireysel evler hakkında 24 GB’lık ayrıntılı bilgiler içermektedir.

Bir Microsoft bulut sunucusunda barındırılan devasa veri tabanı, araştırmacıların ev sahibinin cinsiyeti, medeni durumu, gelir durumu, durumu ve mesken tipi ile ilişkili olduğuna inandığı “sayısal değerler” de belirtilen kodlanmış bilgileri de içerdiği açıklandı.

Veritabanı hassas kart bilgilerini veya sosyal güvenlik numaralarını içermezken, açıklanan veriler kimlik hırsızlığı, dolandırıcılık, kimlik avı dolandırıcılığı saldırıları için kullanılabilmektedir.